Définir un modèle d’attaque

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Définissez un modèle d’attaque pour aider les analystes de menaces à classer les attaques.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Bibliothèque de Renseignements sur les menaces dans l’espace de travail.
    3. Accédez au schéma d’attaque.
    4. Cliquez sur Nouveau.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objets pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    5. Remplissez les champs du formulaire.
      Tableau 1. Vue des détails du modèle d’attaque
      Champ Description
      ID ID unique d’un modèle d’attaque.
      Nom Saisissez un nom pour ce modèle d’attaque.
      Description Saisissez une description pour un modèle d’attaque.
      Alias Noms alternatifs pour identifier ce modèle d’attaque.
      Remarque :
      Pour ajouter un nouvel alias qui n’existe pas dans l’application, cliquez sur l’icône Ajouter de nouveaux alias qui est disponible dans le champ Alias lui-même.
      Phase d’attaque Représente la phase d’attaque d’une chaîne de frappe telle que LM, MITRE ATT&CK.
      Autorisations requises Sélectionnez les autorisations requises pour ce modèle d’attaque.
      TLP Le TLP est utilisé pour s’assurer que les informations sensibles sont partagées avec le public approprié. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité.
      Fiabilité Entrez la confiance pour ce mode de modèle d’attaque.

      La propriété de confiance identifie la confiance que le créateur a dans l’exactitude de ses données. La valeur de confiance DOIT être un nombre compris entre 0 et 100.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement d’objet est créé.
      Révoqué Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.
      Empêcher les mises à jour système Définir ce marqueur sur vrai empêchera le système de remplacer les valeurs des champs de l’enregistrement.
      Important :
      Après avoir créé un enregistrement d’objet, la case Empêcher les mises à jour système s’affiche.

      Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observables, d’indicateurs ou d’objets STIX.

      Tableau 2. Aperçus
      Champ Description
      Notes Ajoutez des notes supplémentaires pour un modèle d’attaque.
      Tableau 3. Informations supplémentaires
      Champ Description
      Contexte supplémentaire Ajoutez tout contexte supplémentaire pour ce modèle d’attaque.
      Version de spéc. Version de la spécification STIX utilisée pour représenter cet objet, modèle d’attaque.

      La valeur de cette propriété doit être 2,1 pour les objets STIX définis conformément à cette spécification.
      Langue Cette propriété identifie la langue du contenu textuel dans cet objet.
      Date de création Spécifie l’heure à laquelle l’enregistrement est créé dans le système.
      Mis à jour Spécifie l’heure à laquelle l’enregistrement est modifié dans le système.
      Extensions Indique les extensions du modèle d’attaque.
      État du traitement Représente le statut de traitement de cet objet, modèle d’attaque.
    6. Cliquez sur Enregistrer.
      Une fois que vous avez enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    7. Cliquez sur Continuer.
      Important :
      Après avoir créé un enregistrement d’observable, la case Empêcher les mises à jour système s’affiche.

      Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observables, d’indicateurs ou d’objets STIX.

      Tableau 4. Balises et taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées à un observable.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez une taxonomie associée à un modèle d’attaque.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées à un modèle d’attaque.

    Que faire ensuite

    Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés au modèle d’attaque.
    Tableau 5. Enregistrements connexes
    Champ Description
    Références externes Répertorie les références externes qui font référence à des informations non STIX. Cette propriété permet de fournir un ou plusieurs identificateurs d’objet externes.
    Campagnes Répertorie les campagnes associées à cet objet.
    Identités Liste des identités associées à cet objet.
    Indicateurs Répertorie les indicateurs de compromission (IoC) connexes qui ont été identifiés par la source de menace associée à cet objet.
    Ensemble d'intrusion Répertorie un ensemble de comportements et de ressources contradictoires ayant des propriétés communes associées à cet objet.
    Emplacements Répertorie les emplacements qui fournissent un contexte géographique à cet objet.
    Programme malveillant Répertorie le code malveillant associé à cet objet.
    Acteurs de menace Répertorie les personnes, groupes ou organisations qui agissent avec une intention malveillante associée à cet objet.
    Outils Répertorie les logiciels légitimes utilisés par les auteurs de menace pour effectuer les attaques associées à cet objet.
    Vulnérabilités Répertorie une faiblesse ou un défaut dans un logiciel ou un matériel exploité par des attaquants et associé à cet objet.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes de Renseignements sur la menace.
    2. Les différents SDO de la bibliothèque TI contiennent également les relations potentielles. Pour établir des relations entre deux objets, utilisez le lien Relations potentielles de la bibliothèque Renseignements sur les menaces pour confirmer les relations entre les objets. Pour plus d'informations, consultez Confirmer les relations éventuelles objet-objet.
    3. Utilisez également la section Related Records (Enregistrements connexes ) de la vue de formulaire d’objets pour confirmer les relations entre deux objets à l’aide de la section Potential Relationships (Relations potentielles ) disponible dans la vue de formulaire. Pour plus d’informations sur le fichier Confirmer les relations éventuelles à partir d’enregistrements connexes.
    4. Vous pouvez ajouter des objets aux tickets. Pour plus d'informations, consultez Ajouter au ticket.