Définir un indicateur

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 6 minutes de lecture

    • Définissez un indicateur.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de Renseignements sur les menaces > Indicateurs.
    2. Sélectionnez Indicateur.
    3. Cliquez sur Nouveau.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objets pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    4. Remplissez les champs du formulaire.
      Tableau 1. Section des détails
      Champ Description
      ID ID unique de l’indicateur.
      Description Description de l’indicateur.
      Nom Nom de l'indicateur.
      Schéma Le modèle de détection de cet indicateur peut être exprimé sous la forme d’un modèle STIX.
      Type de modèle Langue du modèle utilisée dans cet indicateur.
      Version du modèle

      Version du langage de modèle utilisée pour les données dans la propriété de modèle qui doit correspondre au type de données de modèle incluses dans la propriété de modèle.
      Date de début de validité Heure à partir de laquelle cet indicateur est considéré comme un indicateur valide des comportements auxquels il est associé ou qu’il représente.
      Fin de validité Heure après laquelle cet indicateur ne doit plus être considéré comme un indicateur valide des comportements auxquels il est lié ou qu’il représente.
      Classification IOC Classification IOC des indicateurs.
      Types des indicateurs Indique les différentes catégories de l’indicateur.
      Statut Indique l’état des indicateurs.
      Plateformes Définit les plateformes pour lesquelles cet indicateur s’applique.
      TLP Valeur unique qui indique le paramètre de sensibilité des données par TLP.
      Phases d'attaque Représente la phase d’attaque dans une chaîne de frappe telle que LM, MITRE ATT&CK.
      Fiabilité Entrez le score de confiance pour cet enregistrement d’indicateur.

      La propriété de confiance identifie la confiance que le créateur a dans l’exactitude de ses données. La valeur de confiance DOIT être un nombre compris entre 0 et 100.
      Niveau de menace Indique le niveau de menace de l’enregistrement de l’indicateur.
      Délai d'expiration Spécifie le délai d’expiration de l’enregistrement de l’indicateur.
      Gravité de la menace Indique la gravité de la menace de l’enregistrement de l’indicateur.
      Catégories d'utilisation Catégories auxquelles appartient l’observable, telles que botnet ou hameçonnage.
      Premier observé Heure à laquelle cet enregistrement d’indicateur a été vu pour la première fois en train d’effectuer des activités malveillantes.
      Dernier observé Heure à laquelle cet enregistrement d’indicateur a été vu pour la dernière fois en train d’effectuer des activités malveillantes.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement est créé.
      Révoqué Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.
      Tableau 2. Aperçus
      Champ Description
      Notes Ajoutez des notes supplémentaires pour un indicateur.
      Tableau 3. Information supplémentaire
      Champ Description
      Contexte supplémentaire Ajoutez tout contexte supplémentaire pour cet indicateur.
      Version de spéc. Version de la spécification STIX utilisée pour représenter l’indicateur.

      La valeur de cette propriété doit être de 2,1 pour les objets STIX définis conformément à cette spécification.
      Langue Cette propriété identifie la langue du contenu textuel dans cet objet.
      Créées Spécifie l’heure à laquelle l’indicateur est créé dans le système.
      Mis à jour Spécifie l’heure à laquelle l’indicateur est mis à jour dans le système.
      Extensions Indique les extensions de l’indicateur.
      État du traitement Représente l’état de traitement de cet indicateur.
    5. Cliquez sur Enregistrer.
      Une fois que vous avez enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    6. Cliquez sur Continuer.
      Important :
      Après avoir créé un nouvel enregistrement d’observable, la case à cocher Empêcher les mises à jour système s’affiche.

      Cochez cette case pour empêcher toute mise à jour du système après la création des enregistrements de l’observable, de l’indicateur ou des objets STIX.

      Tableau 4. Mots clés&Taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées à un indicateur.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez la taxonomie associée à un indicateur.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées à un indicateur.
      Tableau 5. Enregistrements sources
      Champ Description
      Les détails des enregistrements sources d’un indicateur sont affichés, le cas échéant.

    Que faire ensuite

    Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés aux indicateurs.
    Tableau 6. Enregistrements connexes
    Liste connexe Description
    Techniques MITRE Répertorie les techniques MITRE associées à cet indicateur.
    Schémas d'attaque Répertorie la source Schémas d’attaque qui décrit les méthodes par lesquelles les adversaires tentent de compromettre les cibles liées à cet indicateur.
    Campagnes Répertorie la source de campagnes qui décrit un ensemble d’activités malveillantes ou d’attaques qui se produisent au fil du temps contre un ensemble spécifique de cibles liées à cet indicateur.
    Mesures à prendre Répertorie les plans d’action associés à cet indicateur.
    Sources de données Répertorie les sources de données associées à cet indicateur.
    Composants de données Répertorie les composants de données associés à cet indicateur.
    Identités Répertorie les identités associées à cet indicateur.
    Indicateurs Répertorie les indicateurs associés à cet indicateur.
    Remarque :
    Cette section contient également les relations potentielles entre deux indicateurs. Pour plus d’informations, consultez Confirmer les relations potentielles indicateur-indicateur et consultez Définir les relations indicateur-indicateur les relations confirmées entre les deux observables.
    Infrastructure Répertorie la source d’infrastructure qui décrit tous les systèmes, services logiciels et toutes les ressources physiques ou virtuelles associées destinées à soutenir un objectif d’une attaque et qui sont liées à cet indicateur.
    Ensembles d'intrusion Répertorie un ensemble de comportements et de ressources antagonistes ayant des propriétés communes qui sont liées à cet indicateur.
    Emplacements Répertorie les emplacements géographiques associés à l’objet.
    Programme malveillant Répertorie les enregistrements sources de programmes malveillants associés à cet indicateur.
    Définitions de marquage Répertorie les définitions de marquage associées à cet objet.
    Analyse de programme malveillant Répertorie les métadonnées et les résultats d’une analyse statique ou dynamique particulière effectuée sur une instance de programme malveillant associée à cet indicateur.
    Observables Répertorie les enregistrements observables associés à cet indicateur.
    Données observées Répertorie les données observées qui sont des entités liées à la cybersécurité telles que des fichiers, des systèmes et des réseaux et associées à cet indicateur.
    Perceptions Répertorie les enregistrements sources de perception associés à cet objet.
    Acteurs de menace Répertorie les changements associés à l’observable.
    Événements de menace Répertorie l’événement ou la situation susceptible d’entraîner des conséquences ou un impact indésirables associés à l’indicateur.
    Regroupements des menaces Répertorie les regroupements de menaces en tant qu’objets ayant un contexte commun.
    Notes de menace Répertorie les notes sur les menaces qui transmettent des informations pour fournir un contexte ou une analyse supplémentaire associés à l’indicateur.
    Opinions sur la menace Répertorie les opinions sur une menace comme une évaluation de l’exactitude des informations associées à l’indicateur.
    Rapports de menace Répertorie les rapports de menace associés à cet indicateur.
    Outils Répertorie l’outil associé à cet objet.
    Vulnérabilités Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
    Tickets connexes Répertorie les tickets connexes associés à cet indicateur.
    Tâches du ticket connexe Répertorie les tâches de ticket connexes associées à cet indicateur.
    Canevas liés Répertorie les canevas associés à cet indicateur.
    Références d’indicateurs Liste des références externes qui décrivent cet indicateur.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes à Threat Intelligence.
    2. En outre, dans la section Enregistrements connexes , vous pouvez confirmer les relations entre deux observables à l’aide de la section Relations éventuelles disponible dans la vue de formulaire Indicateurs . Pour plus d’informations sur les rubriques . Confirmer les relations éventuelles à partir d’enregistrements connexes
    3. Vous pouvez ajouter des indicateurs aux tickets. Pour plus d'informations, consultez Ajouter au ticket.