Utilisation du canevas d’enquête
Le canevas d’examen est une fonctionnalité importante qui fournit des informations plus précieuses aux analystes de Threat Intelligence (TI). Il fournit un cadre de travail structuré en mappant les relations un à un ou un à plusieurs et en visualisant des informations relatives aux observables, aux indicateurs de compromis (IOC) ou aux entités.
En utilisant le canevas d’enquête, les analystes de menaces peuvent efficacement :
- Relations de cartes : visualisez les connexions de nœuds entre diverses entités, telles que les observables, les indicateurs de compromission, les auteurs de menace, les schémas d’attaque, les actifs affectés, entre autres. Chaque objet sur le canevas d’enquête est représenté par une couleur spécifique, ainsi que son type d’objet, son type de nœud et son état. L’état reflète la réputation de l’objet ( suspect,faible ou critique ) pour les observables et les autres types d’objets. Les indicateurs sont affichés avec leur gravité de menace associée pour aider à hiérarchiser l’analyse.
- Lier les tickets ou les canevas : liez un ticket ou un canevas pour améliorer l’analyse et fournir une vue plus complète du paysage des menaces au sein de la gestion des tickets.
- La fonctionnalité de liaison permet aux analystes d’ajouter ou de supprimer des nœuds dynamiquement. Les relations existantes entre les nœuds et le canevas sont également renseignées.
- Graphiques de relations temporaires en enregistrant les relations séparément dans le contexte du canevas d’enquête.
- Associations de techniques MITRE : associez ou supprimez des techniques MITRE à des nœuds directement sur le canevas et fournissez une analyse sur la carte de chaîne de frappe MITRE.
Points d’entrée pour le canevas d’examen
- Premier point d’entrée : Nouveau canevas vierge : Ce point d’entrée doit permettre aux analystes d’ouvrir un nouveau canevas vierge sans aucun nœud ni lien.
- Deuxième point d’entrée : canevas ouvert dans l’enquête sur le ticket :
- Ce point d’entrée ouvre un ticket d’enquête existant et permet d’éditer, de modifier et de renommer le canevas.
- Un nouveau canevas avec des artefacts existants en tant que nœuds.