Configurer un nouveau flux Threat Intelligence

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 8 minutes de lecture

    • Configurez un nouveau flux Threat Intelligence.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Pour configurer un nouveau flux de renseignements sur les menaces, procédez comme suit :

    Procédure

    1. Accédez à la Tous > Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Intégrations .
    3. Sélectionner Flux de Threat Intelligence > Tous les flux.
    4. Cliquez sur Configurer une nouvelle source.
      Les différents types de flux s’affichent.

      Tous les flux TISC : configurer une nouvelle source

    5. Sélectionnez le type de flux respectif.
    6. Remplissez les champs du formulaire.
      Tableau 1. Configurer une nouvelle source
      Champ Description
      Nom Saisissez un nom pour le flux.
      Description Description du flux.
      Type de flux Type de flux. Par exemple, MISP.

      Par défaut, cette valeur est affichée en fonction du type de flux que vous avez sélectionné dans le catalogue.
      Logo Joindre le logo du flux source.
      Remarque :
      La taille doit être de 72px/72px.
      Secteur Sélectionnez la catégorie d’industrie (aérospatiale, agriculture, etc.) à laquelle l’aliment s’applique.
      Type de source Sélectionnez le type de source dans la liste des types de sources disponibles. La liste des sources disponibles est la suivante :
      • Gouvernement
      • ISACs
      • Open source
      • Source premium
      • Autre source
    7. Cliquez sur Sélectionner.
    8. Renseignez les champs de la section Configuration comme il convient.
      Tableau 2. Configuration
      Champ Description
      Période d'expiration (jours) Saisissez la période d’expiration du flux en jours. Par exemple, 180 jours.
      Remarque :
      Quelles que soient les données ingérées à la source, elles expireront 180 jours après l’ingestion.
      Utiliser le message REST Cochez la case Utiliser le message REST si vous devez utiliser la fonctionnalité de message REST/de méthode REST fournie par ServiceNow AI Platform.

      Si cette case n’est pas cochée, l’application utilise le point de terminaison fourni dans l’URL du point de terminaison REST pour extraire les données du flux. Pour plus d’informations, consultez Service Web REST sortant dans la ServiceNow AI Platform documentation.

      Remarque :
      Les champs Message REST et Méthode REST sont obligatoires lorsque vous sélectionnez le message REST.
      Message REST Sélectionnez l’enregistrement du message REST dans la liste des enregistrements du message REST déjà configurés dans l’instance. Pour plus d’informations, consultez Service Web REST sortant dans la ServiceNow AI Platform documentation.
      Remarque :
      Sélectionnez cette valeur lorsque vous devez afficher des en-têtes spécifiques et définissez les enregistrements connexes REST à l’aide de l’option de message REST.
      Méthode REST Sélectionnez Méthode REST dans la liste des méthodes REST disponibles configurées pour le message REST sélectionné. Pour plus d’informations, consultez Service Web REST sortant dans la ServiceNow AI Platform documentation.
      Fiabilité Définissez la confiance pour tous les enregistrements applicables qui sont ingérés via ce flux spécifique.
      Remarque :
      Définissez la confiance entre 0 et 100 pour cette source.
      Mécanisme d’analyse des données Sélectionnez l’option de mécanisme d’analyse de données appropriée. Les options disponibles sont les suivantes :
      • Extraction IoC automatisée : cette option est sélectionnée par défaut lors de la configuration des flux texte, CSV ou JSON.
      • Mappage de champs personnalisés : sélectionnez cette option si vous souhaitez définir la façon dont les champs spécifiques de vos données de flux doivent être mappés aux attributs observables.

        Une fois cette option sélectionnée, vous pouvez configurer les mappages dans la section Mappage de champ . Pour plus d’informations sur le mappage des champs personnalisés, reportez-vous à la section Configurer le mappage de champs personnalisés.

      Remarque :
      L’option de mécanisme d’analyse de données n’est disponible que pour les flux de texte, CSV et JSON, où le processeur de rapports de flux est défini sur SimpleFeedDatasourceResponseProcessor.
      URL du point de terminaison REST Entrez l’URL du point de terminaison REST où les données sont hébergées par le flux de renseignements sur les menaces.
      Remarque :
      Pour les types de flux MISP, les URL de point de terminaison REST qui se terminent par /manifest.json sont prises en charge.
      Authentification requise Cochez cette case si l’authentification est requise pour votre nouveau flux de renseignements sur les menaces.
      Remarque :
      Cela s’applique uniquement lorsque l’URL du point de terminaison REST est utilisée pour récupérer les données.
      Type d'authentification Type d’authentification pour le flux source. Voici les types d’authentification configurés et mis en service dans le système de base pour les utilisateurs :
      • ID API/Clé API
      • ID API/secret API
      • Clé API
      • Clé API/Secret API
      • Nom d’utilisateur API/Mot de passe API/Clé API
      • Authentification de base
      En-têtes à transmettre avec la demande Tous les en-têtes à transmettre avec les demandes peuvent être fournis dans le mappage d’en-tête de demande.
      • L’en-tête doit être fourni dans une paire clé-valeur séparée par deux-points (« : »).
      • Chaque paire clé-valeur d’en-tête doit être fournie dans une nouvelle ligne.
      • Pour fournir des paramètres d’authentification en tant que valeurs d’en-tête, encadrez l’étiquette d’authentification requise avec « ${ » et « }$ ». Par exemple, x-api-key :${API Key}$.
      Avancés Cochez cette case pour définir un script d’intégration personnalisé et un script de processeur de rapport.
      Remarque :
      Lorsque vous cochez cette case, les champs Script d’intégration et Processeur de rapport s’affichent pour vous permettre de sélectionner les scripts personnalisés.
      Script d'intégration Le script d’intégration appelle un appel à l’URL du point de terminaison REST à l’aide des paramètres d’authentification et des en-têtes configurés dans le flux, puis le script récupère les données disponibles à partir du flux spécifique.
      Dans le système de base, les includes de scripts personnalisés suivants sont disponibles, qui sont mis en service dans l’application pour les scripts d’intégration :
      • MITRESourceIntegration : utilisé pour extraire les données à partir des flux MITRE.
      • RSSFeedDatasourceIntegration : utilisé pour extraire les données à partir des flux RSS.
      • SimpleFeedDatasourceIntegration : utilisé pour extraire les données de flux simples sans authentification ni authentification de base.
      • SimpleMISPFeedDatasourceIntegration : utilisé pour extraire les données à partir des flux MISP hébergés.

      Le script d’intégration par défaut est basé sur le type de flux que vous sélectionnez. Par exemple, si vous sélectionnez le type de flux MISP, qui est un format standard pour traiter et extraire les données, le script d’intégrations est SimpleMISPFeedDatasourceIntegration.

      Remarque :

      Pour les scripts d’intégration personnalisés, vous pouvez créer un include de script en étendant FeedDatasourceIntegrationBase et en remplaçant les méthodes requises.
      Script de processeur de rapport

      Le script de processeur de rapports traite les données extraites du flux à l’aide du script d’intégration.

      Le système de base inclut les scripts personnalisés suivants, qui sont mis en service dans l’application pour prendre en charge le script de processeur de rapports :
      • AtomFeedDatasourceResponseProcessor : utilisé pour traiter les flux RSS au format Atom.
      • MITRECollectionDataProcessor : utilisé pour le traitement des flux MITRE.
      • RSSFeedDatasourceResponseProcessor : utilisé pour le traitement des flux RSS.
      • SimpleDataplaneFeedResponseProcessor : utilisé pour le traitement des flux de plans de données.
      • SimpleFeedDatasourceResponseProcessor : utilisé pour le traitement de flux simples utilisant l’extraction d’observables par expression régulière.
      • SimpleFeodotrackerFeedResponseProcessor : Utilisé pour traiter les flux Feodotracker.
      • SimpleMISPFeedDatasourceResponseProcessor : utilisé pour le traitement des flux MISP hébergés.
      • TAXIIV2CollectionDataProcessor : utilisé pour le traitement des données de collecte TAXII.

      Le processeur de rapport par défaut pour les flux MISP est SimpleMISPFeedDatasourceResponseProcessor. Ce processeur est préconfiguré par l’application et ne peut être ni modifié ni remplacé.
    9. Renseignez les champs de la section Planification, comme il convient.
      Tableau 3. Ordonnancement
      Champ Description
      Exécuter Définissez la fréquence à laquelle vous souhaitez ingérer les enregistrements. Le flux s’exécutera et s’exécutera en fonction de l’intervalle de tâche de planification. Les intervalles de tâches disponibles sont les suivants :
      • Quotidien
      • Hebdomadaire
      • Mensuel
      • Périodiquement
      • Une fois
      • Sur demande
      • Calendrier d'entreprise : début de l'entrée
      • Calendrier d'entreprise : fin de l'entrée
      Remarque :
      Par défaut, la fréquence est définie sur Sur demande.
      Pour plus d’informations, consultez Travaux planifiés et comment exécuter automatiquement un script de votre choix.
      Extraire les données de Date de début à partir de laquelle les données doivent être extraites. Ce champ doit être défini avec le délai à partir duquel les données doivent être ingérées à partir de la source correspondante. Une fois ce champ défini, l’exécution d’ingestion suivante extrait les données à partir de l’heure configurée et les exécutions d’ingestion consécutives extraient des données incrémentielles.

      Par exemple, la source est planifiée pour ingérer les données toutes les heures. L’utilisateur définit Extraire les données du 12 janvier à 6h00 le 12 janvier à 9h30. L’ingestion se déclenchant le 12 janvier à 10h00 permet d’extraire les données du 12 janvier à 6h00 au 12 janvier à 10h00. L’ingestion suivante qui se déclenche à 11h00 extrait uniquement les données incrémentielles du 12 janvier à 10h00 au 12 janvier à 11h00.

      Remarque :
      Cela signifie que les exécutions planifiées extrairont les données de façon incrémentielle à partir de la date spécifiée.
      Important :
      Cela ne s’applique pas non plus aux flux texte, CSV et JSON.
      Tableau 4. Balises
      Champ Description
      Sélectionner des balises Utilisez les balises pour annoter ou marquer à l’oreille les enregistrements qui sont ingérés dans le système à partir de cette source. Commencez à saisir le nom de la balise dans la barre de recherche pour choisir les balises disponibles dans l’application ou saisissez un nouveau nom de balise et cliquez sur Ajouter pour l’affecter à la source.
    10. Cliquez sur l’action Enregistrer pour stocker et créer le flux.
      Les détails fournis sont validés et, par défaut, l’état des flux est désactivé.
    11. Facultatif : Cliquez sur l’action Enregistrer comme brouillon pour stocker uniquement les configurations de flux comme brouillon.
      Les utilisateurs ne peuvent pas activer un flux lorsqu’il est enregistré en mode brouillon. Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez renseigner les informations restantes dans la version brouillon et la créer.
    12. Cliquez sur Activer pour activer l’enregistrement.
      Une fois l’enregistrement du flux Threat Intelligence activé, vous pouvez l’exécuter pour exécuter l’intégration.
      Remarque :
      • L’enregistrement du flux Threat Intelligence est étiqueté et indiqué comme activé. De même, vous pouvez désactiver le flux de renseignements sur les menaces en cliquant sur le bouton Désactiver .
      • Vous pouvez également activer, désactiver ou supprimer un flux particulier à l’aide du menu Actions de la vignette du flux requis sur la page Catalogue ou Flux de Renseignements sur les menaces .
    13. Cliquez sur Supprimer pour supprimer l’enregistrement du flux des renseignements sur les menaces.
    14. Sélectionnez la section Exécution des intégrations pour vérifier les détails de l’exécution.
      Remarque :
      La procédure de configuration du flux Threat Intelligence ci-dessus est la même pour tous les autres types de flux Threat Intelligence, à l’exception de STIX TAXII. Pour plus d’informations sur la configuration de STIX TAXII, reportez-vous à la section Configurer un nouveau flux TAXII.