Définir un observable

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Les observables sont récupérés sur le serveur du fournisseur sous la forme de données STIX. Toutefois, vous pouvez créer des observables, selon vos besoins.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Référentiel IoC > Observables.
    2. Cliquez sur Nouveau.
      Ajouter un observable
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’observable.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Valeur Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Remarque :
      Si une analyse de menace porte sur une adresse IP ou un hachage, qu’un programme malveillant est renvoyé ou qu’une autre défaillance est utilisée, l’adresse IP ou la valeur de hachage est automatiquement ajoutée à la table Observable [sn_ti_observable]. En tant que tel, il peut être recherché à partir du formulaire Observables.
      Type d'observable Sélectionnez la classification des observables, telle qu’une adresse IP ou un hachage de fichier. Ces types d’observables sont définis dans le module Types d’observables .
      Nombre d'incidents Nombre de fois où la valeur observable a été rencontrée.
      Est la composition Ce champ s’affiche uniquement après la sauvegarde de l’enregistrement d’observable.

      Si le type d’observable est défini sur autre chose que la composition observable et que ce nouvel observable est une composition, cochez cette case.

      Si le type d’observable est déjà défini sur Composition observable, la case est cochée et en lecture seule.

      Une composition observable est un observable qui contient des observables enfants.
      Résultat Sélectionnez l'une des options suivantes :
      • Malicieux : indique que l’observable est nuisible à l’organisation.
      • Suspect : indique que l’observable peut être dangereux pour l’organisation.
      • Nettoyer : indique que l’observable n’est pas nuisible pour l’organisation.
      • Inconnu : indique que nous n’avons pas encore déterminé le résultat de l’observable.

      • Valeur par défaut : inconnu. Pour plus d'informations, consultez Calculateurs de résultats de la recherche de menace.

      Remarque :
      Après une mise à niveau, les observables existants sont marqués comme malveillants.
      Opérateur Ce champ s’affiche uniquement lorsque la case Est une composition est cochée. Selon le paramètre que vous définissez dans ce champ, les observables et leurs enfants sont pris en compte lorsque vous décidez de la présence ou non d’un indicateur associé.

      Définissez ce champ sur ET si tous les observables enfants doivent être présents pour qu’un indicateur associé soit considéré comme présent.

      Affectez-lui la valeur OR si l’un des observables enfants est présent pour qu’un indicateur associé soit considéré comme présent.
      Ne doit pas être présent Ce champ s’affiche uniquement après la sauvegarde de l’enregistrement d’observable.

      Si cette option est sélectionnée, ce champ signifie que l’absence de l’observable est le problème potentiel (par exemple, une clé de registre manquante).
      Emplacement À l’aide des paramètres de deux propriétés et d’une définition de script include, vous pouvez charger Charger plus de données IoC dans ce champ.
      Notes Saisissez les notes supplémentaires sur l’observable.
    4. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis cliquez sur Enregistrer.
      Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Liste connexe Description
      Indicateurs connexes Répertorie les indicateurs qui ont été identifiés par la source de menace.
      Tâches associées Répertorie les changements associés à l’observable.
      Observables enfants Répertorie les observables connexes qui ont été identifiés par la source de menace.
      Ressources correspondantes pour IP Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
      Sources des observables Répertorie les sources de cet observable, ainsi que le niveau de fiabilité de la source.
      Annotations de sécurité Répertorie les annotations de sécurité ajoutées à cet observable.