Voir un IoC

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Les IoC, parfois appelés indicateurs, sont le plus souvent récupérés à partir d’une source de données sur les menaces sous le nom de données STIX. Si nécessaire, vous pouvez également créer des IoC.

    Avant de commencer

    Rôle requis : sn_ti.write

    Procédure

    1. Une fois que la tâche planifiée a récupéré les données IoC à partir de la source de données définie, accédez à Renseignements sur les menaces > Référentiel IoC > Indicateurs.
      Les IoC récupérés sont répertoriés.
    2. Cliquez sur l’IoC que vous souhaitez afficher.
    3. Les informations suivantes s’affichent.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’IoC.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Titre Nom qui décrit cet indicateur.
      Premier observé Première date à laquelle cet indicateur a été observé dans le système.
      Dernier observé Date à laquelle cet indicateur a été observé le plus récemment dans le système.
      Nombre rencontré Nombre de fois que l’indicateur a été rencontré.
      Nombre approvisionné Nombre de fois où l’indicateur a été importé de sources de menace définies.
      Notes Toute remarque supplémentaire sur l’indicateur. Ce champ peut également contenir des paires clé/valeur JSON.
    4. Vous pouvez cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Liens connexes et listes connexes Description
      Afficher les relations Ouvre le visualiseur STIX dans lequel vous pouvez afficher la relation de l’objet STIX.

      L’option Afficher les relations n’apparaît que lorsque l’objet est associé à un objet.
      Observables associés Répertorie les observables liés à l’indicateur actuel.
      Mode/méthode d’attaque connexe Répertorie les modes/méthodes d’attaque associés qui ont été identifiés comme associés à cet indicateur.
      Type associé Répertorie d’autres types d’indicateurs associés à cet IoC.
      Sources d'indicateurs Répertorie les sources de cet indicateur, ainsi que son niveau de confiance.
      Tâches associées Répertorie toutes les tâches, tous les changements et tous les incidents associés à l’IoC.
      Métadonnées de l’indicateur Si le champ Notes contient des paires clé/valeur JSON valides, elles sont analysées et affichées. Si aucune paire clé/valeur JSON n’est présente, ou si le JSON n’est pas valide, cette liste connexe ne s’affiche pas.
      Annotations de sécurité
      Références externes de l’indicateur
      Phases de kill chain associées Répertorie les phases de kill chain associées à cet objet.
      Schémas d'attaque Répertorie les schémas d’attaque qui permettent de catégoriser les attaques associées à cet objet.
      Campagnes Répertorie les campagnes associées à cet objet.
      Ensemble d'intrusions Répertorie un ensemble de comportements et de ressources antagonistes ayant des propriétés communes associées à cet objet.
      Programme malveillant Répertorie le code malveillant associé à cet objet.
      Acteurs de menace Répertorie les personnes, les groupes ou les organisations qui agissent avec une intention malveillante associée à cet objet.