Configurer Renseignements sur les menaces

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 22 minutes de lecture

    • Avant de l’exécuter Renseignements sur les menaces dans votre instance, vous devez la télécharger à partir du .ServiceNow Store Vous pouvez également configurer des propriétés et définir une source de menace.

    Installer Renseignements sur les menaces

    Avant de l’exécuter Renseignements sur les menaces dans votre instance, vous devez la télécharger à partir du .ServiceNow Store

    Avant de commencer

    Effectuez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.
    Tâches de configuration Description

    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance.

    		 Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte le rôle d’administrateur de menaces [sn_ti.admin].
    • L’administrateur des menaces [sn_ti.admin] supervise la configuration et vérifie les résultats attendus.
    Rôle requis : admin

    Procédure

    Suivez les instructions pour Télécharger une application à partir de ServiceNow Store.

    Que faire ensuite

    Définir les Renseignements sur les menaces propriétés.

    Composants installés avec Renseignements sur les menaces

    Plusieurs types de composants sont installés avec l'activation du module d'extension Renseignements sur les menaces, y compris les tables et les rôles d'utilisateur.

    Remarque :
    La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.

    Les données de démonstration sont disponibles pour cette fonctionnalité.

    Rôles installés

    Titre du rôle [name] Description Contient des rôles
    Administrateur des menaces

    [sn_ti.admin]

    		 Dispose d’un contrôle total sur toutes les propriétés de menace, les SLA et les notifications. sn_ti.write
    Lecteur de menace

    [sn_ti.lire]

    		 Dispose d’un accès en lecture aux informations sur les menaces. sn.sec_cmn.int_read
    Auteur de menace

    [sn_ti.écrire]

    		 Dispose d’un accès en écriture aux informations sur les menaces.

    Impossible de supprimer les modes d’attaque, les indicateurs ou les observables. Seul un administrateur des menaces peut les supprimer.
    • sn_sec_cmn.int_write
    • sn_ti.lire

    Analyste MITRE

    [sn_ti.mitre_analyst]

    Ce rôle active l’accès MITRE-ATT&CK en lecture aux modules dans Renseignements sur les menaces et vers le SIR module.
    • sn_ti.lire
    • sn_si.read

    Tables installées

    Table Description
    Mécanismes d'attaque

    [sn_ti_attack_mechanism]

    		 Organise les schémas d’attaque de manière hiérarchique en fonction des mécanismes fréquemment utilisés lors de l’exploitation d’une vulnérabilité. Les catégories qui sont membres de cette vue représentent les différentes techniques utilisées pour attaquer un système.
    Modes/méthode d'attaque

    [sn_ti_attack_mode]

    		 Les modes et méthodes d’attaque sont des représentations du comportement des cyberadversaires. Ils caractérisent ce que fait un adversaire et comment il le fait avec des niveaux de détail croissants.
    Méthode de découverte

    [sn_ti_discovery_method]

    		 Expression de la façon dont un incident a été découvert.
    Groupe

    [sn_ti_feed]

    		 Utilisé pour configurer le flux de menaces (RSS) dans la vue d’ensemble des menaces.
    Indicateur : mode/méthode d’attaque

    [sn_ti_m2m_indicator_attack_mode]

    		 Utilisé pour mapper les modes/méthodes d’attaque aux indicateurs.
    Indicateur de compromis

    [sn_ti_indicator]

    		 Utilisé pour transmettre des modèles observables spécifiques combinés à des informations contextuelles destinées à représenter des artefacts et/ou des comportements d’intérêt dans un contexte de cybersécurité.
    Indicateur de compromis Métadonnées

    [sn_ti_indicator_metadata]

    		 Utilisé pour remplir les enregistrements TAXII.
    Source de l'indicateur

    [sn_ti_m2m_indicator_source]

    		 Utilisée pour collecter toutes les sources générant des rapports sur un indicateur spécifique.
    Type d'indicateur

    [sn_ti_indicator_type]

    		 Caractérise un indicateur de cybermenace composé d’un modèle identifiant certaines conditions observables ainsi que des informations contextuelles sur la signification des modèles, comment et quand il est utilisé, etc.
    Type d'indicateur connexe

    [sn_ti_m2m_indicator_indicator_type]

    		 Lie les indicateurs à leurs types applicables
    Nombre d'incidents

    [sn_ti_observable]

    		 Nombre d’incidents de sécurité associés à un observable.
    Effet souhaité

    [sn_ti_intended_effect]

    		 Utilisé pour exprimer l’effet escompté d’un auteur de menace.
    Résultat de l’analyse IP

    [sn_ti_ip_result]

    		 Utilisé pour afficher les résultats d’une recherche d’adresses IP.
    Limite de taux de programmes malveillants

    [sn_ti_rate_limit]

    		 Définit une limite de taux à utiliser sur une source de recherche.
    Analyse anti-programme malveillant

    [sn_ti_scan]

    		 Une recherche. Contient ce qu’il faut rechercher, avec la source de recherche et un résumé des résultats de la recherche.
    Entrée de la file d’attente de l’analyse anti-programme malveillant

    [sn_ti_scan_q_entry]

    		 Un enregistrement de recherche mis en file d’attente pour la recherche ou le traitement. Facilite les demandes dans les limites de débit indiquées.
    Résultat de l’analyse anti-programme malveillant

    [sn_ti_scan_result]

    		 Affiche le résultat d’une recherche.
    Scanner de programme malveillant

    [sn_ti_scanner]

    		 Définit les sources de recherche tierces à utiliser pour effectuer des recherches.
    Limite de débit du scanner de programme malveillant

    [sn_ti_scanner_rate_limit]

    		 Associe une source de recherche à une limite de taux.
    Type de programme malveillant

    [sn_ti_malware_type]

    		 Utilisé pour exprimer les types d’instances de programmes malveillants.
    Observable

    [sn_ti_observable]

    		 Les observables dans STIX représentent des propriétés d’état ou des événements mesurables pertinents pour le fonctionnement des ordinateurs et des réseaux.
    Type de contexte de l'observable

    [sn_ti_observable_context_type]

    		 Stocke le contexte (source, destination d’une adresse IP, etc.) d’un observable.
    Indicateur observable

    [sn_ti_m2m_observable_indicator]

    		 Utilisé pour relier les observables aux indicateurs
    Source d'observable

    [sn_ti_observable_source]

    		 Utilisé pour relier les observables aux sources de menace.
    Type d'observable

    [sn_ti_observable_type]

    		 Répertorie les différents types d’observables, tels que les adresses IP.
    Catégorie de type de l'observable

    [sn_ti_observable_type_category]

    		 Stocke la première catégorisation des observables (par exemple, les adresses IP et les URL). Il est utilisé pour déterminer plus précisément les types d’observables.
    Mode/méthode d’attaque connexe

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Utilisé pour relier les modes d’attaque les uns aux autres.
    Observables associés

    [sn_ti_m2m_observables]

    		 Utilisé pour relier les observables les uns aux autres.
    Type d'analyse

    [sn_ti_scan_type]

    		 Définition d’un type de recherche, avec des enregistrements initiaux pour le fichier, l’URL et l’adresse IP.
    Ticket de sécurité

    [sn_ti_case]

    		 Stocke les enregistrements de tickets de sécurité créés à l’aide de Gestion des tickets.
    Ticket de sécurité IoC

    [sn_ti_case_ioc]

    		 Utilisée pour gérer la relation entre les observables et les tickets.
    Tâche associée au ticket de sécurité

    [sn_ti_m2m_case_task]

    		 Utilisé pour gérer la relation entre les tâches (incidents de sécurité, demandes de changement, etc.) avec les tickets de sécurité.
    Exclusion de relation des tickets de sécurité

    [sn_ti_case_relationship_exclusion]

    		 Fournit la définition de l’inclusion et de l’exclusion des enregistrements connexes dans les tickets de sécurité.
    Perception

    [sn_ti_sighting]

    		 Lien m2m entre l’observable et le résultat détaillé de la recherche de perceptions utilisé dans l’exécution d’une demande de recherche de perception.
    Éléments de configuration de perception

    [sn_ti_m2m_sighting_ci]

    		 Mappe les éléments de configuration à une recherche de perceptions.
    Détail de la recherche de perception

    [sn_ti_sighting_search_detail]

    		 Détails d’une recherche d’observations, par exemple, le nombre d’éléments externes internes trouvés.
    Résultat de la recherche de perception

    [sn_ti_sighting_search]

    		 En-tête d’une exécution de recherche de perceptions.
    Types d'observables pris en charge

    [sn_ti_m2m_ind_type_obs_type]

    		 Associe les types d’indicateurs aux types d’observables valides.
    Type d’analyse pris en charge

    [sn_ti_supported_scan_type]

    		 Mappe le type de recherche à une implémentation spécifique à la source de recherche/au fournisseur. Indique qu’une source de recherche spécifique prend en charge le type.
    Mode/méthode d’attaque de la tâche

    [sn_ti_m2m_task_attack_mode]

    		 Relie les modes d’attaque aux tâches.
    Indicateur de tâche

    [sn_ti_m2m_task_indicator]

    		 Associe les indicateurs aux tâches.
    Tâche Observable

    [sn_ti_m2m_task_observable]

    		 Associe les observables aux tâches.
    Perception de la tâche

    [sn_ti_m2m_task_sighting]

    		 Stocke les enregistrements de tâches (incidents et tickets de sécurité) associés à un enregistrement d’observation.
    Collecte TAXII

    [sn_ti_taxii_collection]

    		 Définit un flux de renseignements sur les cyber-risques qui peut être importé par un serveur TAXII.
    Profil TAXII

    [sn_ti_taxii_profile]

    		 Définit un référentiel pour le partage des renseignements sur les cyber-risques. Contient les collections TAXII.
    Type d’acteur de menace

    [sn_ti_threat_actor_type]

    		 Fournit des caractérisations des acteurs malveillants (ou adversaires) représentant une menace de cyberattaque, y compris l’intention présumée et le comportement historiquement observé.
    Source de renseignements sur les menaces

    [sn_ti_source]

    		 Définit une source pour l’importation des données sur les menaces.
    Motivation de l'attaque connexe

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Collecte toutes les motivations d’attaque associées à un objet STIX.
    Type d'infrastructure associée

    [sn_ti_stix2_m2m_infra_type]

    		 Relie l’infrastructure à leurs types.
    Phase de kill chain associée

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 Relie les phases de kill chain aux indicateurs.
    Phase de kill chain associée

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 Relie les phases de kill chain aux objets STIX.
    Aptitude de programme malveillant associée

    [sn_ti_stix2_m2m_malware_capability]

    		 Relie les programmes malveillants à leurs options.
    Type de logiciel malveillant associé

    [sn_ti_stix2_m2m_malware_malware_type]

    		 Relie les programmes malveillants à leurs types.
    Observable associé

    [sn_ti_stix2_m2m_malware_observable]

    		 Collecte tous les observables associés à un programme malveillant.
    Observable associé

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Collecte tous les observables associés à des données observées.
    Type de rapport associé

    [sn_ti_stix2_m2m_report_report_type]

    		 Relie les rapports de menace à leurs types.
    Rôle de l'acteur de menace associée

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Relie les auteurs de menace à leurs rôles.
    Type d'acteur de menace associée

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Relie les auteurs de menace à leurs types.
    Type d'outil associé

    [sn_ti_stix2_m2m_tool_tool_type]

    		 Relie les outils à leurs types.
    Motivation de l'attaque

    [sn_ti_stix2_attack_motivation]

    		 La motivation de l’attaque façonne l’intensité et la persistance d’une attaque. Les acteurs de la menace et les ensembles d’intrusion agissent généralement d’une manière qui reflète leur émotion ou leur situation sous-jacente, ce qui informe les défenseurs de la manière dont ils attaquent.
    Modèle d'attaque

    [sn_ti_stix2_attack_pattern]

    		 Type de TTP qui décrit les méthodes utilisées par les adversaires pour tenter de compromettre des cibles.
    Campagne

    [sn_ti_stix2_campaign]

    		 Regroupement de comportements antagonistes qui décrivent un ensemble d’activités malveillantes ou d’attaques (parfois appelées vagues) qui se produisent sur une période contre un ensemble spécifique de cibles.
    Déroulement de l'action

    [sn_ti_stix2_course_of_action]

    		 Recommandation d’un producteur de renseignements à un consommateur sur les mesures qu’il pourrait prendre en réponse aux renseignements.
    Référence externe

    [sn_ti_stix2_external_reference]

    		 Pointeurs vers des informations représentées en dehors de STIX.
    Perception d'identité

    [sn_ti_stix2_m2m_sighting_identity]

    		 Collecte toutes les identités associées à une observation.
    Identité

    [sn_ti_stix2_identity]

    		 Personnes, organisations ou groupes réels (exemple : ACME, Inc.) ainsi que catégories d’individus, d’organisations, de systèmes ou de groupes (exemple : secteur financier).
    Référence externe de l'indicateur

    [sn_ti_stix2_indicator_external_reference]

    		 Représente les références externes associées aux indicateurs.
    Perception de l'indicateur

    [sn_ti_stix2_indicator_sighting]

    		 Représente les perceptions des indicateurs.
    Type d'infrastructure

    [sn_ti_stix2_infrastructure_type]

    		 Représente les différents types d’infrastructure.
    Infrastructure

    [sn_ti_stix2_infrastructure]

    		 Type de TTP qui décrit tous les systèmes, services logiciels et toutes les ressources physiques ou virtuelles associées, destinés à soutenir un but donné (par exemple, les serveurs C2 utilisés dans le cadre d’une attaque, les appareils ou les serveurs faisant partie de la défense, les serveurs de base de données ciblés par une attaque, entre autres).
    Logiciel installé

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 Collecte tous les logiciels (types de logiciels SCO) associés à une analyse de programme malveillant.
    Ensemble d'intrusions

    [sn_ti_stix2_intrusion_set]

    		 Un ensemble groupé de comportements et de ressources antagonistes avec des propriétés communes que l’on pense être orchestré par une seule organisation.
    Phase de kill chain

    [sn_ti_stix2_kill_chain_phase]

    		 Représente les phases de kill chain associées à une kill chain.
    Chaîne de frappe

    [sn_ti_stix2_kill_chain]

    		 Représente diverses chaînes de frappe.
    Emplacement

    [sn_ti_stix2_location]

    		 Représente un emplacement géographique fourni via STIX.
    Analyse de programme malveillant

    [sn_ti_stix2_malware_analysis]

    		 Métadonnées et résultats d’une analyse statique ou dynamique particulière effectuée sur une instance ou une famille de programmes malveillants.
    Aptitude de logiciel malveillant

    [sn_ti_stix2_malware_capability]

    		 Représente les options courantes d’une famille ou d’une instance de programme malveillant.
    Système d'exploitation du logiciel malveillant

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Collecte tous les systèmes d’exploitation (types de logiciels SCO) associés aux programmes malveillants.
    Programme malveillant

    [sn_ti_stix2_malware]

    		 Un type TTP qui représente le code malveillant.
    Définition de marquage

    [sn_ti_stix2_marking_definition]

    		 Représente les besoins de gestion ou de partage des objets STIX.
    Perception d'objets

    [sn_ti_stix2_object_sighting]

    		 Représente les observations d’objets STIX.
    Relations objet-indicateur

    [sn_ti_stix2_m2m_object_indicator]

    		 Collecte toutes les relations entre les objets STIX et les indicateurs STIX.
    Relation objet-objet

    [sn_ti_stix2_m2m_object]

    		 Collecte toutes les relations entre les objets STIX et d’autres objets STIX, à l’exception des indicateurs.
    Relation objet-observable

    [sn_ti_stix2_m2m_object_observable]

    		 Collecte toutes les relations entre les observables STIX et les objets STIX.
    Perception de données observées

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Collecte tous les objets de données observés associés à une observation.
    Données observées

    [sn_ti_stix2_observed_data]

    		 Transmet des informations sur les entités liées à la cybersécurité telles que les fichiers, les systèmes et les réseaux à l’aide des objets cyber-observables (SCO) STIX.
    Type de rapport

    [sn_ti_stix2_report_type]

    		 Représente l’objectif ou le sujet principal des rapports de menace.
    Observable rapporté

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 Collecte tous les observables associés à l’analyse de programme malveillant.
    Objet STIX V2

    [sn_ti_stix2_object]

    		 Table parente commune pour l’objet STIX.
    Perception STIX V2

    [sn_ti_stix2_sighting]

    		 Table parente commune pour les tables de perception STIX.
    Rôle d'acteur de menace

    [sn_ti_stix2_threat_actor_role]

    		 Représente les rôles qui peuvent être joués par les acteurs de la menace.
    Acteur de menace

    [sn_ti_stix2_threat_actor]

    		 Les acteurs de la menace sont des individus, des groupes ou des organisations réels soupçonnés d’opérer avec des intentions malveillantes.
    Regroupement des menaces

    [sn_ti_stix2_threat_grouping]

    		 Regroupe tous les objets STIX qui partagent un contexte commun.
    Note de menace

    [sn_ti_stix2_threat_note]

    		 Fournit un contexte et une analyse supplémentaire qui ne sont pas contenus dans l’objet STIX correspondant.
    Opinion sur la menace

    [sn_ti_stix2_threat_opinion]

    		 Fournit une évaluation de l’exactitude des informations dans un objet STIX produit par une entité différente.
    Rapport de menace

    [sn_ti_stix2_threat_report]

    		 Les rapports sont des collections de renseignements sur les menaces axés sur une ou plusieurs rubriques, telles que la description d’un acteur malveillant, d’un programme malveillant ou d’une technique d’attaque, y compris le contexte et les détails connexes. Ils sont utilisés pour regrouper les renseignements sur les menaces liés à la communication afin de les publier sous forme d’article complet sur les cybermenaces.
    Type d'outil

    [sn_ti_stix2_tool_type]

    		 Catégories d’outils qui peuvent être utilisés pour effectuer des attaques.
    Outil

    [sn_ti_stix2_tool]

    		 Les outils sont des logiciels légitimes utilisés par les acteurs de la menace pour effectuer des attaques.
    Vulnérabilité

    [sn_ti_stix2_vulnerability]

    		 Représente une faiblesse ou un défaut dans les exigences, les conceptions ou les implémentations de la logique de calcul (exemple de code) trouvée dans le logiciel et certains composants matériels (exemple de micrologiciel). Elles peuvent être directement exploitées pour avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité de ce système.

    Définir les Renseignements sur les menaces propriétés

    Renseignements sur les menaces les propriétés vous permettent de contrôler le fonctionnement de différents aspects du système, y compris le réglage des clés API.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration > Propriétés.
    2. Définissez les propriétés suivantes comme il convient.
      Tableau 1. Propriétés pour Renseignements sur les menaces
      Propriété Description
      Nom du domaine pour récupérer des informations supplémentaires pour les adresses IP/URL

      sn_ti.recherche_ip.site_web

      Nom du domaine à utiliser pour récupérer des informations supplémentaires dans votre base de données IoC. Cette propriété est utilisée par l’include de script ThreatAdditionalInfo pour renseigner des informations supplémentaires sur le formulaire Observables.

      Valeur par défaut : http://api.ipinfodb.com/v3/ip-country/

      Remarque :
      L’API tierce pinfodb.com est disponible sans frais supplémentaires et utilisée dans de nombreux logiciels commerciaux. Si vous le remplacez par un nom de domaine différent, vous devez également fournir la clé API dans le champ suivant.
      Clé API à utiliser pour le domaine, le cas échéant

      sn_ti.ip_lookup.api_key

      Clé API à utiliser pour récupérer des informations supplémentaires dans votre base de données IoC. Cette propriété est utilisée (avec la propriété sn_ti.ip_lookup.web_site) par l’include de script ThreatAdditionalInfo pour renseigner des informations supplémentaires sur le formulaire Observables.
      N’exécutez pas de recherche automatisée de menaces sur un observable lorsque l’observable est associé à un IoC ou qu’il est malveillant.

      sn_ti.scan_ioc_before_sending

      Remarque :
      Vous devez définir la durée dans la propriété suivante (sn_ti.scan_ioc_num_days).

      Option permettant d’arrêter l’exécution de la recherche automatisée de menaces sur un observable lorsqu’il s’avère que celui-ci est malveillant ou associé à un IoC pendant la durée configurée (en jours). Si vous devez toujours exécuter la recherche de menace pour l’observable, vous pouvez le faire manuellement.

      Valeur par défaut : oui
      Durée (en jours)

      sn_ti.scan_ioc_num_days

      Option permettant de définir la durée pendant laquelle la recherche automatisée de menace de l’observable est ignorée.

      Valeur par défaut (en jours) : 30
      N’exécutez pas de recherche automatisée de menaces sur un observable si elle a déjà été exécutée.

      sn_ti.enable_threat_lookup_bypass

      Remarque :
      Vous devez définir la durée dans la propriété suivante (sn_ti.threat_lookup_bypass_times).

      S’il existe un résultat de recherche de menace pour un observable déjà disponible, vous avez la possibilité d’ignorer la réexécution de la recherche de menace automatisée pour le même observable jusqu’à ce que la durée configurée soit écoulée.

      Valeur par défaut : non
      Remarque :
      Si vous activez cette propriété, assurez-vous d’ajouter une valeur appropriée.
      Durée (en minutes)

      sn_ti.threat_lookup_bypass_time

      Option permettant de définir la durée après laquelle la recherche automatisée de menace de l’observable peut être réexécutée.

      Valeur par défaut (en minutes) : 0
      Définissez une durée de validité pour les remplacements d’utilisateur sur le résultat observable.

      sn_ti.enable_observable_finding_system_override

      Remarque :
      Vous devez définir la validité dans la propriété suivante (sn_ti.observable_finding_override_expiry).
      		 Option permettant de définir une durée de validité pour les remplacements d’utilisateur sur les résultats observables. Le résultat de la recherche de menace de l’observable ne sera pas modifié par le système de base pendant cette durée de validité.
      Valeur par défaut : Non.
      Remarque :
      Si vous activez cette propriété, assurez-vous d’ajouter une valeur appropriée.
      Validité (en minutes)

      sn_ti.observable_finding_override_expiry

      		 Option permettant de définir la période de validité du résultat observable.

      Valeur par défaut (en minutes) : aucune
      Lorsqu'un mode/une méthode d'attaque n'a été reçu d'aucune source pendant le nombre de jours spécifié, marquez-le comme inactif.

      sn_ti.attack_mode_inactivate_days

      Nombre de jours à partir de la dernière réception d’un mode/méthode d’attaque pour que l’enregistrement soit marqué comme inactif.

      Valeur par défaut : 360

      Remarque :
      La case à cocher Actif n’est pas visible sur le formulaire Mode/méthode d’attaque par défaut. Cependant, vous pouvez l’ajouter. Lorsque les modes/méthodes d’attaque sont inactifs, ils ne peuvent pas être sélectionnés sur d’autres formulaires.
      Lorsqu'un indicateur n'a été reçu d'aucune source pendant le nombre de jours spécifié, marquez-le comme inactif.

      sn_ti.indicator_inactivate_days

      Nombre de jours à partir de la dernière réception d’un indicateur pour que l’enregistrement soit marqué comme inactif.

      Valeur par défaut : 180

      Remarque :
      La case à cocher Actif n’est pas visible sur le formulaire Indicateur par défaut. Cependant, vous pouvez l’ajouter. Lorsque les indicateurs sont inactifs, ils ne peuvent pas être sélectionnés sur d’autres formulaires.
      Taille maximale de la charge utile (en Mo) d’une pièce jointe STIX pouvant être analysée.

      sn_ti.stix.max_taille_charge utile

      Spécifie la taille maximale de la charge utile pour la pièce jointe STIX que vous pouvez analyser.

      Valeur par défaut : aucune

      Valeur maximale autorisée : aucune limite.
      Délai maximal, en secondes, pendant lequel une connexion HTTP sortante attend pour récupérer les données de collecte TAXII

      sn_ti.taxii.http.max_timeout

      Spécifie la durée maximale d’attente d’une connexion HTTP sortante avant d’extraire le paquet suivant de données de collecte TAXII.

      Valeur par défaut : 300
      Nombre maximal d'objets récupérés dans un seul appel REST à partir d'un serveur TAXII (applicable uniquement pour les versions 2.0 et 2.1 de TAXII)

      sn_ti.taxii.max_taille_page

      Spécifie le nombre maximal d’objets récupérés dans un seul appel REST à partir du serveur TAXII pour une page.

      Valeur par défaut : 5000

      Valeur maximale autorisée : 50 000
      Nombre maximal de nouvelles tentatives pour un échec d’appel REST TAXII 2.X

      sn_ti.taxii2.retry_count

      Spécifie le nombre maximal de nouvelles tentatives pour un appel REST TAXII ayant échoué.

      Valeur par défaut : 3
    3. Cliquez sur Enregistrer.

    Définir une source de menace

    Vous pouvez gérer une liste des sources de Renseignements sur les menaces menace. Chaque source inclut la possibilité de définir la fréquence à laquelle une source est interrogée. Vous pouvez également exécuter une source de menace sur demande pour importer les données STIX (Structured Threat Information eXpression) nécessaires.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Pourquoi et quand exécuter cette tâche

    Renseignements sur les menaces utilise deux technologies pour importer des informations relatives aux menaces : STIX et TAXII (Trusted Automated Exchange of Indicator Information).

    STIX fournit un langage standardisé et structuré pour représenter un ensemble complet d’informations sur les cybermenaces qui comprend des indicateurs d’activité de compromission (IoC) (par exemple, les adresses IP et les hachages de fichiers), ainsi que des informations contextuelles concernant les menaces, telles que les modes/méthodes d’attaque, qui, ensemble, caractérisent plus complètement les motivations, les capacités et les activités d’un cyberadversaire. En tant que telles, les données STIX fournissent des informations précieuses sur la meilleure façon dont votre organisation peut se défendre contre les cybermenaces.

    L’échange automatisé fiable d’informations d’indicateur (TAXII) est utilisé pour faciliter l’échange automatisé d’informations sur les cybermenaces. TAXII définit un ensemble de services et d’échanges de messages qui permettent le partage d’informations exploitables sur les cybermenaces au-delà des frontières des organisations et des produits/services pour la détection, la prévention et l’atténuation des cybermenaces. Les profils TAXII peuvent être configurés en tant que référentiels pour le partage d’informations au format STIX. Chaque profil contient une ou plusieurs collections ou flux TAXII.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Sources > Sources de menace.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Le nom de la source de menace.
      Application L'application qui contient l'enregistrement.
      Actif Cochez cette case pour activer la source de menace.
      Avancés Cochez cette case pour afficher les scripts dans les champs Script de l’instanciateur d’intégration et Processeur de rapport .
      Description Description de cette source de menace.
    4. Renseignez les champs de la section Calendrier , selon vos besoins.
      Champ Description
      Exécuter Fréquence à laquelle vous souhaitez que l’intégration s’exécute : Quotidien, Hebdomadaire, Périodiquement, etc. Comme indiqué, les champs suivants sont affichés en fonction de la configuration de ce champ.
      Jour Le jour où vous souhaitez que l’intégration s’exécute.
      • Si vous avez sélectionné Hebdomadaire dans le champ Exécuter , ce champ affiche les jours de la semaine.
      • Si vous avez sélectionné Tous les mois dans le champ Exécuter , ce champ affiche les jours du mois.
      Heure Heure à laquelle vous souhaitez que l’intégration commence.
      Intervalle de répétition Si vous avez sélectionné Périodiquement dans le champ Exécuter , ce champ affiche le nombre de jours et d’heures avant que l’intégration ne s’exécute à nouveau.
      En cours de démarrage Si vous avez sélectionné Périodiquement dans le champ Exécuter , ce champ affiche les dates et l’heure à utiliser comme point de départ pour les mises à jour périodiques.
      Conditionnel Sélectionnez ce champ si vous souhaitez ajouter des paramètres conditionnels.
      Condition Si vous avez coché la case Conditionnel , entrez les conditions ici.
    5. Renseignez les champs de la section Détails de la menace , selon vos besoins.
      Champ Description
      Indicateur Indicateur à utiliser lorsque les données n’en fournissent pas explicitement. Pour les listes de blocs, si vide, un nouvel indicateur est créé pour chaque observable.
      Type d'indicateur Le type d’indicateur à utiliser pour les indicateurs qui sont créés et les données ne fournissent pas explicitement un type d’indicateur.
      Modes/méthode d'attaque Le mode/la méthode d’attaque à utiliser lorsque les données n’en fournissent pas explicitement.
      Type d'observable Type d’observable à utiliser pour les observables qui sont créés et les données ne fournissent pas explicitement un type d’observable.[SI1]
      Pondération Entrez une valeur de poids pour cette source à utiliser dans le calcul de confiance.
      Remarque :
      L’utilisation des champs Indicateur, Type d’indicateur, Mode/Méthode d’attaque et Type d’observable est spécifique à l’implémentation. Le processeur par défaut, SimpleBlocklistProcessor, se comporte comme le décrivent les info-bulles. Toutefois, une source de menace TAXII est entièrement pilotée par les données. Tout processeur de source de menace personnalisé pourrait utiliser sa propre stratégie. Ces champs sont essentiellement des éléments à exposer à l’intégration/processeur et l’implémentation décide comment les utiliser.
    6. Renseignez les champs de la section Détails de la source , le cas échéant.
      Champ Description
      Point de terminaison Entrez l’URL du point de terminaison de service Web à laquelle la source de menace est accessible Renseignements sur les menaces. Cliquez sur l’icône de verrou pour verrouiller l’URL.
      Utiliser le message REST Si vous avez besoin d’un message REST pour accéder à la source de menace, cochez cette case. Les champs Message REST et Méthode REST deviennent obligatoires.
      Message REST Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST Cliquez sur l’icône de recherche et sélectionnez la méthode REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
      Script d'intégration Le script d’intégration par défaut est SimpleRESTSecurityDataIntegration. Il exécute un simple appel REST, enregistre la réponse sous forme de pièce jointe, puis renvoie la pièce jointe au processeur. Ce script répond aux besoins de la plupart des organisations. Mais si vous le souhaitez, vous pouvez cliquer sur l’icône de recherche et sélectionner un script d’intégration différent ou en définir un nouveau.
      Script de l'instanciateur d'intégration Si la case à cocher Avancé est sélectionnée, ce champ affiche le script réel de construction du script d’intégration. Vous pouvez modifier le script si nécessaire. Cette capacité est utile pour les implémentations personnalisées. Les intégrations dans le système de base n’ont généralement pas besoin de logique de constructeur personnalisée.
      Script de processeur de rapport Le script d’intégration par défaut est SimpleBlocklistProcessor. Ce script est un processeur simple qui accepte une liste de blocs simple (simple, c’est-à-dire un document à colonne unique avec des observables tels que des URL ou des adresses IP) et crée des observables. Elle utilise les différents champs Détails de la menace pour déterminer les champs à définir lors de la création d’observables.
      Script de l'instanciateur de processeur Si la case Avancé est cochée, ce champ affiche le script réel de construction du processeur. Vous pouvez modifier le script si nécessaire. Ce script est généralement utile pour les implémentations personnalisées. Les intégrations dans le système de base n’ont généralement pas besoin d’une logique de constructeur personnalisée.
    7. Cliquez sur Envoyer.
      Remarque :
      Pour plus d’informations sur la configuration de la pagination de la source de menace, consultez KB1213825 article.

    Créer un profil TAXII

    Vous pouvez gérer les profils TAXII pour partager des informations au format STIX. Chaque profil contient une ou plusieurs collections ou flux TAXII.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Sources > Profils TAXII.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs suivants comme il vous convient.
      ChampDescription
      Nom Nom du profil TAXII
      Application L'application qui contient l'enregistrement.
      Utiliser les messages REST comme modèle Si vous avez besoin d’un message REST pour accéder au profil TAXII, cochez cette case.
      Version TAXII Spécifiez la version de TAXII. Les versions STIX prises en charge sont 1.1, 2.0 et 2.1.
      Description Description de ce profil TAXII.
    4. Renseignez les champs de la section Configuration du service Découverte comme il convient.
      ChampDescription
      Point de terminaison du service de découverte Le point de terminaison de découverte autorise les clients à obtenir des informations sur un serveur TAXII et une liste des racines d’API.
      Utiliser le message REST Sélectionnez cette option si vous avez besoin d’un message REST pour accéder au profil TAXII. Les champs Message REST Service de découverte et Méthode REST Service de découverte deviennent obligatoires.
      Message REST du service de découverte Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST du service de découverte Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
    5. Renseignez les champs de la section Configuration du service de collecte , comme il convient.
      ChampDescription
      Point de terminaison du service d'information sur la collecte Une collection TAXII est une interface vers un référentiel logique d’objets CTI fourni par un serveur TAXII et est utilisée par les clients TAXII pour envoyer des informations au serveur TAXII ou demander des informations au serveur TAXII.

      Un serveur TAXII peut héberger plusieurs collections par racine d’API, et les collections sont utilisées pour échanger des informations de manière demande-réponse.
      Utiliser le message REST Sélectionnez cette option si vous avez besoin d’un message REST pour accéder au profil TAXII. Les champs Message REST Service d’informations de collecte et Méthode REST Service d’informations de collecte deviennent obligatoires.
      Message REST du service d'information sur la collecte Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST du service d'information sur la collecte Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
    6. Cliquez sur Envoyer.