Définir la perception d’objets

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Définissez la perception d’objets qui indique qu’un objet (programme malveillant, outil, acteur malveillant, entre autres) a été vu.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Bibliothèque de Renseignements sur les menaces dans l’espace de travail.
    3. Accédez à Objet de perception d’objets .
    4. Cliquez sur Nouveau.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objets pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    5. Renseignez les champs du formulaire.
      Tableau 1. Choisir l’entité et la valeur
      Champ Description
      Entité Sélectionnez l’enregistrement de perception d’objets d’entité.
      Remarque :
      Lors de la création de tout nouvel enregistrement de perception d’objets, un enregistrement de relation associé est requis pour l’agrégation.
      Perception de Indique qu’une entité ou un indicateur particulier a été observé dans un environnement ce qui peut indiquer une menace potentielle.
      Remarque :
      Sélectionnez l’enregistrement connexe de perception associé à l’objet sélectionné dans le champ Entité afin que les enregistrements connexes puissent maintenant être créés et regrouper les enregistrements de perception.
      Tableau 2. Vue des détails de la perception d’objets
      Champ Description
      ID ID unique d’un plan d’action visant à prévenir une attaque.
      Description Une description qui fournit plus de détails et de contexte sur l’observation.
      Premier observé Début de la fenêtre de temps au cours de laquelle l’ODS a fait référence à la propriété a été observée.
      Dernier observé Fin de la fenêtre de temps pendant laquelle le SDO référencé par laquelle la propriété a été observée.
      Nombre S’il est présent, il doit s’agir d’un nombre entier compris entre 0 et 999 999 999 inclus et représente le nombre de fois où le SDO référencé par lequel la propriété a été observée.
      Est une synthèse Indique si l’observation doit être considérée comme des données récapitulatives. Les données récapitulatives sont une agrégation des rapports d’observations précédents et ne doivent pas être considérées comme des données de source primaire.
      Est Interne Indique si l’observation est interne.
      TLP Le TLP est utilisé pour s’assurer que les informations sensibles sont partagées avec le public approprié. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité.
      Fiabilité Entrez la confiance pour ce plan d’action.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement d’objet est créé.
      Révoqué Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.
      Tableau 3. Aperçus
      Champ Description
      Notes Ajoutez des notes supplémentaires pour cet ensemble d’intrusions.
      Tableau 4. Informations supplémentaires
      Champ Description
      Contexte supplémentaire Ajoutez tout contexte supplémentaire pour ce modèle d’attaque.
      Version de spéc. Version de la spécification STIX utilisée pour représenter cet objet.

      La valeur de cette propriété doit être de 2,1 pour les objets STIX définis conformément à cette spécification.
      Langue Cette propriété identifie la langue du contenu textuel dans cet objet.
      Heure de création dans la source Spécifie l’heure de création de l’objet dans la source.
      Extensions Indique les extensions du modèle d’attaque.
      Heure de modification dans la source Spécifie l’heure à laquelle l’objet est modifié dans la source.
      État du traitement Représente l’état de traitement de cet objet et le déroulement de l’action.
      Créées Spécifie la date et l’heure auxquelles l’objet est créé dans la source.
      Mise à jour Spécifie la date et l’heure auxquelles l’objet a été mis à jour dans la source.
      Créé par réf. Cette propriété spécifie que l’objet d’identité qui décrit l’entité a créé cet objet.
    6. Cliquez sur Enregistrer.
      Une fois que vous avez enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    7. Cliquez sur Continuer.
      Important :
      Après avoir créé un nouvel enregistrement d’observable, la case à cocher Empêcher les mises à jour système s’affiche.

      Cochez cette case pour empêcher toute mise à jour du système après la création des enregistrements de l’observable, de l’indicateur ou des objets STIX.

      Tableau 5. Mots clés&Taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées à l’identité.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez une taxonomie associée à cette infrastructure.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées à cette infrastructure.

    Que faire ensuite

    Cliquez sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés à l’observation d’objets.
    Tableau 6. Enregistrements connexes
    Champ Description
    Références externes Répertorie les références externes qui font référence à des informations autres que STIX. Cette propriété est utilisée pour fournir un ou plusieurs identificateurs d’objets externes.
    Objets Répertorie les objets associés aux observations.
    Indicateurs Répertorie les indicateurs de compromis (IoC) connexes qui ont été identifiés par la source de menace associée à cet objet.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes à Threat Intelligence.
    2. Les différents SDO de la bibliothèque TI contiennent également les relations potentielles. Pour établir des relations entre deux objets, utilisez le lien Relations éventuelles de la bibliothèque Renseignements sur les menaces pour confirmer les relations entre les objets. Pour plus d'informations, consultez Confirmer les relations éventuelles objet-objet.
    3. Utilisez également la section Enregistrements connexes de la vue de formulaire d’objets pour confirmer les relations entre deux objets à l’aide de la section Relations éventuelles disponible dans la vue de formulaire. Pour plus d’informations sur les rubriques . Confirmer les relations éventuelles à partir d’enregistrements connexes
    4. Vous pouvez ajouter des objets aux tickets. Pour plus d'informations, consultez Ajouter au ticket.