Afficher un IoC

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les IoC, parfois appelés indicateurs, sont le plus souvent récupérés à partir d’une source de données de menace en tant que données STIX. Si nécessaire, vous pouvez également créer des IoC.

    Avant de commencer

    Rôle requis : sn_ti.write

    Procédure

    1. Une fois que la tâche planifiée a récupéré les données IoC à partir de la source de données définie, accédez à Renseignements sur les menaces > Référentiel IoC > Indicateurs.
      Les IoC récupérés sont répertoriés.
    2. Cliquez sur l’IoC que vous souhaitez afficher.
    3. Les informations suivantes s’affichent.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’IoC.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Titre Nom descriptif de cet indicateur.
      Premier observé Date à laquelle cet indicateur a été observé pour la première fois dans le système.
      Dernier observé Date à laquelle cet indicateur a été observé le plus récemment dans le système.
      Nombre rencontré Nombre de fois où l’indicateur a été rencontré.
      Nombre approvisionné Nombre de fois où l’indicateur a été importé à partir de sources de menaces définies.
      Notes Toutes les remarques supplémentaires sur l’indicateur. Ce champ peut également contenir des paires clé/valeur JSON.
    4. Vous pouvez cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Listes et liens connexes Description
      Afficher les relations Ouvre le visualiseur STIX dans lequel vous pouvez afficher la relation de l’objet STIX.

      Afficher les relations s’affiche uniquement lorsque l’objet a un objet associé.
      Observables associés Répertorie les observables liés à l’indicateur actuel.
      Mode/méthode d’attaque connexe Répertorie les modes/méthodes d’attaque associés qui ont été identifiés comme étant liés à cet indicateur.
      Type associé Répertorie les autres types d’indicateurs associés à cet IoC.
      Sources d'indicateurs Répertorie les sources de cet indicateur, ainsi que le niveau de fiabilité de la source.
      Tâches associées Répertorie l’ensemble des tâches, des changements et des incidents associés à l’IoC.
      Métadonnées de l’indicateur Si le champ Notes contient des paires clé/valeur JSON valides, elles sont analysées et affichées. Si aucune paire clé/valeur JSON n’est présente, ou si le JSON n’est pas valide, cette liste connexe ne s’affiche pas.
      Annotations de sécurité
      Références externes de l’indicateur
      Phases de kill chain associées Répertorie les phases de kill chain associées à cet objet.
      Modèles d'attaque Répertorie les modèles d’attaque qui aident à classer les attaques associées à cet objet.
      Campagnes Répertorie les campagnes associées à cet objet.
      Ensemble d'intrusions Répertorie un ensemble de comportements et de ressources antagonistes avec des propriétés communes associées à cet objet.
      Programme malveillant Répertorie le code malveillant associé à cet objet.
      Acteurs de menace Répertorie les personnes, les groupes ou les organisations qui agissent avec une intention malveillante associée à cet objet.