Créer un observable d’incident de sécurité

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Vous pouvez créer et afficher un observable au sein d’un incident de sécurité et prendre les mesures appropriées. Le fait de disposer d’observables dans l’incident de sécurité est évolutif et réduit le temps de réponse.

    Avant de commencer

    Rôle requis :
    • sn_ti_observable.write (écriture)
    • sn_ti_observable.read (lecture)
    • sn_ti_observable.admin (supprimer)

    Procédure

    1. Accédez à Incident de sécurité.
    2. Choisissez un incident.
    3. Cliquez sur l’onglet de liste connexe Observables de l’incident de sécurité .
    4. Cliquez sur Nouveau.
    5. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’observable.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Valeur Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Remarque :
      Si une analyse des menaces sur une adresse IP ou un hachage, renvoie un programme malveillant ou une autre défaillance, l’adresse IP ou la valeur de hachage est automatiquement ajoutée à la table Observable [sn_ti_observable]. En tant que tel, il peut être recherché à partir du formulaire Observables.
      Type d'observable Sélectionnez la classification de l’observable, telle qu’une adresse IP ou un hachage de fichier. Ces types d’observables sont définis dans le module Types d’observables .
      Nombre d'incidents Nombre de fois où la valeur de l’observable a été rencontrée.
      Est une composition Ce champ s’affiche uniquement après avoir sauvegardé l’enregistrement de l’observable.

      Si le type d’observable est défini sur autre chose que Composition observable et que ce nouvel observable est une composition, cochez cette case.

      Si le type d’observable est déjà défini sur Composition de l’observable, la case est cochée et en lecture seule.

      Une composition observable est un observable qui contient des observables enfants.
      Résultat Sélectionnez l'une des options suivantes :
      • malveillant : indique que l’observable est nuisible à l’organisation.
      • Suspect : indique que l’observable peut être dangereux pour l’organisation.
      • Propre : indique que l’observable n’est pas dangereux pour l’organisation.
      • Inconnu : indique que nous n’avons pas encore déterminé la conclusion de l’observable.

      • Valeur par défaut : inconnue. Pour plus d'informations, consultez Calculateurs de résultats de la recherche de menace.

      Remarque :
      Après une mise à niveau, les observables existants sont marqués comme malveillants.
      Opérateur Ce champ s’affiche uniquement si la case Est la composition est cochée. Selon votre configuration dans ce champ, les observables et leurs enfants sont pris en compte pour décider si un indicateur associé est présent.

      Définissez ce champ sur ET si tous les observables enfants doivent être présents pour qu’un indicateur associé soit considéré comme présent.

      Définissez-le sur OU si l’un des observables enfants est présent pour qu’un indicateur associé soit considéré comme présent.
      Ne doit pas être présent Ce champ s’affiche uniquement après avoir sauvegardé l’enregistrement de l’observable.

      Si ce champ est sélectionné, ce champ signifie que l’absence de l’observable est le problème potentiel (par exemple, une clé de Registre manquante).
      Emplacement Vous pouvez charger Charger plus de données IoC dans ce champ à l’aide des paramètres de deux propriétés et d’une définition d’include de script.
      Notes Saisissez toutes les remarques supplémentaires sur l’observable.
    6. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis cliquez sur Enregistrer.
      Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Liste connexe Description
      Indicateurs connexes Répertorie les indicateurs qui ont été identifiés par la source de menace.
      Tâches associées Répertorie les changements associés à l’observable.
      Observables enfants Répertorie les observables associés qui ont été identifiés par la source de menace.
      Ressources correspondantes pour IP Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
      Sources des observables Répertorie les sources de cet observable, ainsi que le niveau de confiance de la source.
      Annotations de sécurité Répertorie les annotations de sécurité ajoutées à cet observable.
    7. Pour en revenir à l’incident de sécurité, les informations suivantes sont disponibles.
      Remarque :
      Lorsque vous ajoutez un observable à l’incident de sécurité, le système recherche tout autre élément de configuration ou utilisateur qui lui est associé. Les onglets de liste connexe Éléments de configuration associés et Utilisateurs associés sont mis à jour en conséquence.
      Exemple d’observables d’incident de sécurité
      Colonne Définition
      Observable Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Type d'observable Type spécifique d’observable.
      Contexte Sélectionné par l’utilisateur. Les choix possibles sont les suivants :
      • IP : source ou destination
        Remarque :
        Si Renseignements sur les menaces et Palo Alto Networks - Firewall sont activés, la modification ou l’ajout d’une valeur à ce champ entraîne l’exécution du workflow Obtenir le flux de données du journal Security Operations Palo Alto Networks - Obtenir les données du journal . Le workflow récupère les données enrichies du journal des menaces à partir du pare-feu et les joint à l’incident de sécurité. Les informations sont également analysées et affichées dans la section Journaux du pare-feu sous l’onglet Données d’enrichissement .
      • URL - Référent
        Remarque :
        Lorsque l’utilisateur clique sur un lien dans un e-mail d’hameçonnage, un référent est l’URL du dernier saut avant l’accès à l’URL du programme malveillant.
      Nombre d'incidents Nombre d’incidents dans lesquels cet observable apparaît. Cette valeur est automatiquement mise à jour lorsque l’observable est ajouté à un autre incident manuellement ou via un workflow.
      Mis à jour Données et heure de dernière mise à jour de la liste.
      Remarque :
      Si le module d’extension Renseignements sur les menaces est installé, vous pouvez également afficher l’observable dans la liste Observables du référentiel IoC.