(Facultatif) Joindre manuellement un observable pour Hybrid Analysis

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Vous pouvez joindre manuellement des observables lorsque vous souhaitez effectuer des recherches de menaces sur des observables qui ne sont pas joints à un incident de sécurité lors du déclenchement de l’événement initial. En outre, vous pouvez effectuer cette tâche lorsque vous souhaitez obtenir plus d’informations sur un observable connexe.

    Avant de commencer

    Vérifiez que l’observable est d’un type pris en charge par l’intégration. L’intégration effectue des recherches sur les types d’observables suivants :
    • Hachages de fichiers
    • Adresses IP
    • URL
    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Incidents > Afficher les incidents et ouvrez un incident de sécurité auquel vous souhaitez joindre l’observable.
    2. Sur l’incident de sécurité ouvert, cliquez sur le lien Afficher l’IoCdans les liens connexes.
      Onglet Observables sur l’enregistrement d’incident.
    3. Dans l’onglet Observables , cliquez sur Nouveau.
      Le formulaire Observable s’affiche.
    4. Dans le champ Valeur , saisissez un observable (hachage de fichier, adresses IP ou URL).
    5. Cliquez sur l’icône de recherche puis, dans la boîte de dialogue Catégories de type d’observable , cliquez sur le type d’observable souhaité dans la liste pour remplir le champ.
      Liste de catégories de type d’observable.
    6. Cliquez sur Envoyer.
      Le flux se lance et recherche le nouvel observable. L’état d’exécution et d’achèvement est affiché dans la section des notes de travail de l’enregistrement d’incident de sécurité.
    7. Accédez à votre incident de sécurité et passez en revue les notes de travail.
      Recherchez l’état dans les notes de travail.
    8. Au bas de l’enregistrement, cliquez sur le lien connexe Afficher toutes les listes connexes .
    9. Cliquez sur l’onglet Résultats de la recherche de menace pour afficher les résultats.
      Onglet Résultats de la recherche de menaces.
    10. Dans la colonne Observable , cliquez sur l’icône d’information bleue en regard d’un observable donné pour obtenir plus d’informations et des données brutes.
      Tâche : Cliquez sur le symbole d’information.
    11. Dans la boîte de dialogue qui s’affiche, cliquez sur Ouvrir l’enregistrement pour afficher les données brutes et plus de détails.
      Vous pouvez également joindre un observable existant à l’enregistrement d’incident de sécurité.
    12. Facultatif : Une fois l’onglet Observables sélectionné, cliquez sur Modifier.
    13. Facultatif : Dans le formulaire Modifier les membres qui s’affiche, déplacez un observable existant de Collection vers Liste des observables , puis cliquez sur Enregistrer.
      Vous êtes renvoyé à l’incident de sécurité.
    14. Dans la colonne située tout à gauche, sélectionnez les observables sur lesquels vous souhaitez exécuter la recherche, puis dans la liste de choix Actions sur les lignes sélectionnées... , sélectionnez Exécuter une recherche de menace.
      Un message s’affiche en haut de l’enregistrement indiquant que la demande est en cours de traitement. Vérifiez que la recherche a été exécutée avec succès.
    Passez en revue les notes de travail pour plus d’informations et sur la procédure à suivre si vous ne pouvez pas vérifier que la recherche s’est correctement exécutée.