Définir un ensemble d’intrusions
Définissez un ensemble d’intrusions, c’est-à-dire un ensemble groupé de comportements et de ressources adverses ayant des propriétés communes.
Avant de commencer
Rôle requis : sn_ti.admin
Procédure
- Accédez à la .
- Cliquez sur Nouveau.
-
Renseignez les champs du formulaire comme il vous convient.
Champ Description Nom Entrez un nom descriptif pour identifier l’ensemble d’intrusion. Premier observé Heure à laquelle cet ensemble d’intrusion a été vu pour la première fois en train d’effectuer des activités malveillantes. Dernier observé Heure à laquelle cet ensemble d’intrusion a été vu pour la dernière fois en train d’effectuer des activités malveillantes. Motivation principale Raison principale, motivation ou but derrière cet ensemble d’intrusion. La motivation est la raison pour laquelle l’ensemble d’intrusion veut atteindre l’objectif (ce qu’il essaie d’atteindre). Par exemple, une intrusion dans le but de perturber le secteur financier d’un pays peut être motivée par une haine idéologique du capitalisme.
Niveau de ressource Cette propriété spécifie le niveau organisationnel auquel cet ensemble d’intrusions fonctionne généralement, qui à son tour détermine les ressources disponibles pour une attaque. Source Spécifie la source de menace à partir de laquelle cet enregistrement est créé. Description Une description qui fournit plus de détails et de contexte sur l’ensemble d’intrusion, y compris potentiellement son objectif et ses principales caractéristiques. Alias Noms alternatifs pour identifier cet ensemble d’intrusion. Objectifs Les objectifs de haut niveau de cette intrusion sont de savoir ce qu’ils essaient de faire. Par exemple, ils peuvent être motivés par un gain personnel, mais leur objectif est de voler des numéros de carte de crédit. Pour ce faire, ils peuvent exécuter des campagnes spécifiques qui ont des objectifs détaillés comme compromettre les systèmes de point de vente d’un grand détaillant.
ID source Identificateur unique de cet objet dans la source de menace. Heure de création dans la source Spécifie l’heure de création de l’objet dans la source. Heure de modification dans la source Spécifie l’heure à laquelle l’objet est modifié dans la source. - Cliquez sur Envoyer.
Que faire ensuite
| Liens connexes et listes connexes | Description |
|---|---|
| Afficher toutes les relations | Ouvre le visualiseur STIX dans lequel vous pouvez afficher la relation de l’objet STIX. L’option Afficher les relations n’apparaît que lorsque l’objet est associé à un objet. |
| Références externes | Répertorie les références externes qui font référence à des informations autres que STIX. Cette propriété est utilisée pour fournir un ou plusieurs identificateurs d’objets externes. |
| Motivations de l'attaque connexe | Répertorie toutes les motivations secondaires recherchées par cet ensemble d’intrusions. |
| Schémas d'attaque | Répertorie les schémas d’attaque qui permettent de catégoriser les attaques associées à cet objet. |
| Campagnes | Répertorie les campagnes associées à cet objet. |
| Identités | Liste des identités associées à cet objet. |
| Indicateurs | Répertorie les indicateurs de compromis connexes (IoC) qui ont été identifiés par la source de menace associée à cet objet. |
| Emplacements | Répertorie les emplacements qui fournissent un contexte géographique à cet objet. |
| Programme malveillant | Répertorie le code malveillant associé à cet objet. |
| Acteurs de menace | Répertorie les personnes, les groupes ou les organisations qui agissent avec une intention malveillante associée à cet objet. |
| Outils | Répertorie les logiciels légitimes utilisés par les auteurs de menace pour effectuer des attaques associées à cet objet. |
| Vulnérabilités | Répertorie une faiblesse ou un défaut dans un logiciel ou un matériel exploité par des attaquants qui est associé à cet objet. |