Configurer des groupes de balises et des balises de sécurité

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Vous pouvez affecter des balises aux incidents de sécurité, aux tâches de réponse, aux éléments vulnérables, aux observables, aux IoC et aux tickets de sécurité pour créer des métadonnées sur l’enregistrement de réponse et définir qui doit avoir accès à des types spécifiques de contenu de sécurité. Les balises peuvent être ajoutées à des groupes de sécurité pour les organiser.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Security Operations > Balises de sécurité > Groupes.
      Trois groupes de classification par défaut sont inclus dans le système de base.
      • Liste d’autorisation d’enrichissement/liste de refus : ce groupe définit si un enregistrement doit être traité comme un enregistrement de liste d’autorisation ou de liste de refus. Les enregistrements de liste d’autorisation sont généralement moins importants, ils peuvent donc être ignorés. Les enregistrements de la liste de refus sont généralement plus intéressants.
      • Balise META : ce groupe est fourni en tant que données de démonstration. Vous pouvez l’utiliser pour créer des balises de classification personnalisées utilisées par les applications des opérations de sécurité.
      • Traffic Light Protocol : Ce groupe est utilisé pour s’assurer que les informations sensibles sont partagées avec la bonne audience. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité. Pour chaque couleur, vous pouvez attribuer les rôles d’accès en lecture/écriture appropriés. Lors du partage d’observables dans un cercle de sécurité approuvé, la balise affectée au profil de cercle de sécurité approuvé détermine quels observables balisés TLP peuvent être partagés avec le cercle, comme suit :
        • TLP : BLANC : Seuls les observables avec TLP :WHITE peuvent être partagés avec un profil TLP :WHITE.
        • TLP : VERT : Les observables avec TLP : GREEN et TLP :WHITE peuvent être partagés avec un profil TLP :GREEN.
        • TLP : AMBRE : Les observables avec TLP : AMBER, TLP : GREEN et TLP : WHITE peuvent être partagés avec un profil TLP : AMBER.
        • TLP : ROUGE :Tous les observables, quelle que soit leur balise TLP, peuvent être partagés avec un profil TLP :RED, car TLP :RED est la balise TLP la mieux classée.
        Remarque :
        Vous pouvez ajouter d’autres couleurs TLP, mais celles qui s’ajoutent aux quatre couleurs incluses sont considérées comme non valides par le Forum for Incident Response and Security Teams (FIRST).
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Entrez le nom du groupe de sécurité.
      Autoriser les sélections multiples Cochez cette case si vous souhaitez pouvoir affecter plusieurs balises de sécurité à un enregistrement qui partage un groupe.
      Actif Activer ou désactiver le groupe.
      Description Entrez une description de ce groupe.
    4. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      La liste connexe Balises de sécurité s’affiche.
    5. Dans la liste connexe aux balises de sécurité, cliquez sur Nouveau.
    6. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Nom de la balise de classification.
      Groupe de balises de sécurité Si la balise a été créée à l’aide du bouton Nouveau dans la liste connexe du groupe, ce champ est par défaut le groupe actuel. Si nécessaire, vous pouvez ajouter la balise à un autre groupe, mais cette opération est facultative.
      Ordre Indiquez l’ordre dans lequel la balise apparaît sur les formulaires ou dans une liste.
      Couleur Sélectionnez la couleur de cette balise.
      Appliquer l'accès restreint Cochez cette case pour affecter des rôles de lecture et/ou d’écriture requis par les utilisateurs pour lire ou écrire sur des enregistrements qui ont cette balise de sécurité.
      Actif Activer ou désactiver la balise.
      Description Description de cette balise.
      Rôles (accès en lecture) Pour affecter un accès en lecture à une balise de sécurité, cliquez sur l’icône de verrouillage, sélectionnez les rôles d’accès appropriés, puis cliquez à nouveau sur l’icône de verrouillage. Ce champ s’affiche uniquement si vous avez coché la case Appliquer l’accès restreint .
      Rôles (accès en écriture) Pour affecter un accès en écriture à une balise de sécurité, cliquez sur l’icône de verrouillage, sélectionnez les rôles d’accès appropriés, puis cliquez à nouveau sur l’icône de verrouillage. Ce champ s’affiche uniquement si vous avez coché la case Appliquer l’accès restreint .
    7. Répétez l’opération au besoin pour créer d’autres balises de sécurité.
    8. Cliquez sur Mettre à jour.
      Remarque :
      Vous pouvez également créer de nouvelles balises en accédant à Security Operations > Balises de sécurité > Balises. La procédure est la même.