Recherches de perception sur les attaques de phishing et de programmes malveillants signalées par les utilisateurs

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 11 minutes de lecture

    • Effectuez des recherches de perception sur des e-mails ou des observables pour déterminer la fréquence à laquelle certains types d’attaques, tels que les attaques par hameçonnage ou les communications avec une adresse IP ou une URL malveillante, se produisent sur votre réseau. Chaque occurrence est considérée comme une observation. Les recherches de perceptions pour les observables doivent être configurées pour vos magasins de journaux ou pour la gestion des informations et des événements et de sécurité (SIEM).

    Regardez cette vidéo de trois minutes pour apprendre à utiliser la fonctionnalité Recherche de perception pour localiser les utilisateurs hameçonnés et suivre les observables de hameçonnage et de programmes malveillants dans le magasin de journaux de votre réseau.

    Les termes suivants sont utilisés pour décrire les attaques de phishing signalées par les utilisateurs :
    • Utilisateur hameçonné : utilisateur qui a reçu un e-mail d’hameçonnage.
    • Utilisateur victime : utilisateur qui a interagi avec l’URL d’hameçonnage, généralement en cliquant sur un lien dans l’e-mail d’hameçonnage. Cette action expose potentiellement les informations d’identification à l’attaquant.
    Lorsque vous commencez à analyser un incident d’hameçonnage, vous pouvez effectuer une recherche d’observations d’e-mails ou Effectuer une recherche d’observations observables pour identifier les autres utilisateurs de votre organisation qui sont impactés par la même attaque d’hameçonnage. Effectuez des recherches dans vos magasins de journaux pour identifier les utilisateurs hameçonnés et victimes. Après avoir identifié la liste des utilisateurs affectés, créez des incidents de sécurité enfants pour exécuter des procédures de réponse complètes à l’aide des outils disponibles dans Réponse aux incidents de sécurité.
    Remarque :
    Vous pouvez également utiliser l’approche suivante pour effectuer une recherche d’observations :
    • Accédez à la Incidents de sécurité > Afficher les incidents et cliquez sur un incident de sécurité.
    • Cliquez sur Afficher l’IoC sous Liens connexes. La liste des observables s’affiche.
    • Sélectionnez un observable dans la liste et, dans la liste Actions , sélectionnez l’une des options suivantes :
      • Exécuter la recherche de perception du trafic web
      • Exécuter la recherche de perception du trafic des e-mails
    • Spécifiez le délai et cliquez sur Rechercher pour effectuer une recherche d’observations.

    Configurations de recherche de perceptions enregistrées

    Configurez les recherches de perception et créez des configurations enregistrées pour les SIEM ou d’autres magasins de journaux pour les instances d’observables afin de déterminer la présence d’observables malveillants dans votre environnement.
    Remarque :
    Les recherches enregistrées et les requêtes sur place sont prises en charge pour Splunk Integration uniquement.

    Effectuer une recherche de perception des e-mails pour les attaques de phishing signalées par les utilisateurs

    Recherchez les utilisateurs qui ont reçu des e-mails d’hameçonnage en fonction d’observables tels que l’objet de l’e-mail, le nom de l’expéditeur ou l’ID du message. Vous pouvez ensuite contenir et éradiquer ces e-mails d’hameçonnage de votre organisation.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Recherchez les journaux de trafic de messagerie Splunk pour rassembler la liste des destinataires d’un e-mail suspect. La recherche peut être effectuée en utilisant l’expéditeur de l’e-mail, l’ID du message e-mail ou l’objet de l’e-mail associé à un incident de sécurité comme critères.
    Remarque :
    • Cette implémentation de la recherche de perceptions pour les observables basés sur l’e-mail a été testée uniquement avec le magasin de journaux Splunk Enterprise.
    • Les événements de journal Splunk doivent être conformes au Common Information Model (CIM) pour que la requête de recherche de perceptions renvoie des résultats précis.

    Procédure

    1. Pour afficher les incidents de sécurité affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle interface utilisateur).
    2. Dans la liste Incidents de sécurité , sélectionnez l’un des filtres, tels que tous les incidents ouverts, tous les incidents qui vous sont affectés ou tous les incidents.

      Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails d’hameçonnage, cliquez sur l’un des filtres rapides.

      Incidents de sécurité
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      L’onglet Vue d’ensemble fournit une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.

      Onglet Vue d'ensemble
    4. Cliquez sur l’onglet Explorer .
    5. Sous Données d’incident, accédez à Examen > Rechercher des e-mails et des observables.
      Recherche d'e-mail
    6. Développez la section Critères de recherche.
    7. Sélectionnez Recherche par e-mail comme type de recherche que vous souhaitez exécuter et spécifiez les autres critères de recherche.
      Tableau 1. Formulaire Critères de recherche
      Champ Description
      Intégrations Type d’intégration. Sélectionnez Magasin de journaux dans la liste.
      Remarque :
      Cette fonctionnalité est prise en charge uniquement avec le magasin de journaux Splunk.
      De Adresse e-mail complète de l’expéditeur (par exemple, jane.doe@example.com).
      ID de message ID d’e-mail provenant du magasin de journaux.
      Objet Objet de l’e-mail d’hameçonnage.
      Fenêtre de recherche Fenêtre de temps pour la recherche (par exemple, les dernières 24 heures).
    8. Dans la liste Sélectionner une action , sélectionnez Rechercher , puis cliquez sur Exécuter.

      La recherche dans le magasin de journaux Splunk se fait à l’aide des critères que vous avez saisis, et les utilisateurs ciblés par l’attaque de phishing sont affichés dans l’onglet Résultats de recherche d’e-mails . Le nombre total d’e-mails de hameçonnage et les détails de chaque e-mail, y compris la date de réception de l’e-mail, le destinataire et l’ID du message, sont affichés.

    9. Pour afficher la liste des utilisateurs qui ont reçu l’e-mail d’hameçonnage, cliquez sur le symbole de > dans la colonne Date de recherche.
      Résultats de recherche d’e-mails
    10. Pour afficher la liste des utilisateurs qui ont reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

      La colonne Utilisateur hameçonné identifie les destinataires de l’e-mail.

      Remarque :
      La page Utilisateurs affectés affiche uniquement les enregistrements utilisateur présents sur l’instance ServiceNow.
    11. Pour enquêter plus en détail sur les utilisateurs cibles de l’attaque d’hameçonnage, procédez comme suit :
      1. Cochez les cases en regard des noms d’utilisateur.
      2. Dans la liste, sélectionnez Créer un incident de sécurité enfant, puis cliquez sur Exécuter.
      Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

    Résultats

    La liste des utilisateurs hameçonnés s’affiche.

    Effectuer une recherche de perceptions observables pour les attaques de phishing et de programmes malveillants signalées par les utilisateurs

    Effectuez des recherches de perception sur les observables pour savoir combien d’utilisateurs ont visité un site web malveillant ou suspect au cours d’une période spécifique.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez effectuer une recherche de trafic réseau sur des observables tels que l’URL, l’hôte de destination ou l’adresse IP de destination associée à un incident de sécurité.
    Remarque :
    • Cette implémentation de la recherche de perceptions pour les observables a été testée uniquement avec le magasin de journaux Splunk Enterprise.
    • Les événements de journal Splunk doivent être conformes au Common Information Model (CIM) pour que la requête de recherche de perceptions renvoie des résultats précis.

    Procédure

    1. Pour afficher les incidents de sécurité qui sont affectés à votre équipe, accédez à Incident de sécurité > Incidents (nouvelle interface utilisateur).
    2. Dans la liste Incidents de sécurité , sélectionnez un autre filtre, tel que Tous les incidents qui me sont affectés, Tous les incidents ouverts ou Tous les incidents.

      Pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques ou les e-mails d’hameçonnage, cliquez sur l’un des filtres rapides.

      Incidents de sécurité
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      Vous pouvez afficher une vue d’ensemble de l’incident de sécurité, y compris une liste des observables, des utilisateurs affectés et des incidents de sécurité similaires.

      Onglet Vue d'ensemble

      Dans la section Observables, notez que la colonne Observable affiche l’adresse e-mail, l’objet et l’URL. Notez également que la colonne Recherche indique que l’URL a été automatiquement analysée lorsque l’e-mail d’hameçonnage a été soumis et qu’il a été déterminé qu’il s’agissait d’une URL malveillante connue. La colonne Nombre d’incidents affiche les autres incidents qui partagent le même observable. Ces artefacts indiquent que vous êtes probablement prêt à passer aux procédures de maîtrise de cette attaque d’hameçonnage, notamment à déterminer le nombre d’utilisateurs de l’organisation qui ont été affectés.

      Observables

    4. Accédez à la Explorer > Examen > Rechercher des e-mails et des observables.
    5. Développez la section Critères de recherche et cliquez sur Recherche d’observables.
      Recherche d’observable
    6. Saisissez l’observable que vous recherchez et une fenêtre de temps pour la recherche (par exemple, 24 dernières heures).
    7. Dans la liste Sélectionner une action , sélectionnez Rechercher.
      La recherche dans le magasin de journaux Splunk s’effectue à l’aide des critères que vous avez entrés et les principaux utilisateurs ciblés par l’attaque malveillante sont affichés dans l’onglet Résultats de recherche d’observables .Résultats de recherche d’observables
    8. Pour afficher les utilisateurs qui ont reçu l’e-mail, accédez à Utilisateurs > Utilisateurs affectés.

      La colonne Utilisateur hameçonné identifie les destinataires de l’e-mail d’hameçonnage et la colonne Interaction de l’utilisateur identifie les utilisateurs qui ont cliqué sur une URL d’hameçonnage ou interagi avec une adresse e-mail suspecte. La colonne Interaction de l’utilisateur est définie sur vrai ou faux, selon que l’utilisateur a cliqué sur le lien malveillant ou sur l’adresse IP ou non.

      Remarque :
      La page Utilisateurs affectés affiche uniquement les enregistrements utilisateur présents sur l’instance ServiceNow.
    9. Pour enquêter plus en détail sur les utilisateurs qui ont cliqué sur l’e-mail d’hameçonnage et qui ont potentiellement compromis leurs informations d’identification :
      1. Dans les colonnes Utilisateur hameçonné et Interaction avec l’utilisateur, cochez les cases en regard des noms d’utilisateur qui affichent vrai.
      2. Cliquez sur Créer un incident de sécurité enfant , puis cliquez sur Exécuter.
        Un message s’affiche pour indiquer qu’un incident de sécurité enfant a été créé. Pour afficher les incidents de sécurité enfants associés à un incident parent, cliquez sur l’onglet Explorer et accédez à Incidents > Incidents de sécurité enfants.

    Résultats

    La liste des utilisateurs hameçonnés s’affiche.

    Créer des enregistrements de configuration de recherche de perceptions

    Créez plusieurs enregistrements de configuration de recherche de perceptions et utilisez-les tout en interrogeant plusieurs magasins de journaux ou en faisant varier les paramètres de recherche.

    Avant de commencer

    Rôle requis : sn_si.admin

    • Le module complémentaire CIM doit être installé sur l’instance Splunk.
    • Les recherches enregistrées et les requêtes sur place sont prises en charge pour Splunk Integration uniquement.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez également créer des enregistrements de configuration de recherche de perceptions pour invoquer les recherches enregistrées dans le magasin de journaux d’entreprise Splunk.
    Remarque :
    Les requêtes de configuration de recherche s’appuient sur les données de journal Splunk pour être conformes à Splunk Common Information Model (CIM).
    Avec les configurations de recherche enregistrées, vous pouvez :
    • Créez des recherches personnalisées qui combinent plusieurs enregistrements d’événements.
    • Recherches efficaces et efficientes en termes de conception.
    • Utilisez les entrées paramétrées dans la recherche enregistrée Splunk.

    Le système de base comprend les exemples de configurations.

    Les requêtes de recherche enregistrées et de configuration sur place sont des exemples de requêtes qui peuvent être remplacées par des paramètres appropriés pour votre environnement. Créez des configurations de recherche enregistrées supplémentaires, au besoin. Lorsque vous définissez une configuration de recherche enregistrée, le nom et les paramètres de la requête de recherche doivent correspondre à la configuration enregistrée définie sur votre instance Splunk. Si le nom et les paramètres ne sont pas identiques, les résultats peuvent ne pas être précis lorsque vous effectuez une recherche d’observations.
    Remarque :
    Sur votre instance Splunk, accédez à la page Recherches, rapports et alertes et localisez votre requête de recherche enregistrée. Sélectionnez le lien Autorisations pour accéder à la page Autorisations. Sélectionnez la case d’option Toutes les applications et activez l’option Autorisation de lecture pour tout le monde. Cela changera la valeur de la colonne de partage de Privé à Application pour votre requête de recherche enregistrée. Si cette option n’est pas définie, la requête de recherche enregistrée peut ne renvoyer aucun résultat.

    Pour vérifier si la configuration de recherche enregistrée correspond à la configuration définie sur votre instance Splunk :

    1. Accédez à la Paramètres > Recherches, rapports et alertes.
    2. Changez le contexte de l’application en tous.

      La liste des rapports de recherche s’affiche.

    3. Vérifiez que la requête de recherche enregistrée figure dans la liste.
    Par exemple, le formulaire Configuration de recherche de perceptions contient l’adresse e-mail et l’expéditeur comme paramètres de recherche :
    Figure 1. Formulaire Configuration de la recherche de perceptions
    Configuration enregistrée

    Dans votre instance Splunk, définissez la recherche enregistrée avec le même nom, la recherche enregistrée par défaut : e-mails, et les mêmes paramètres de recherche pour l’adresse e-mail et l’objet de l’e-mail. Si le nom et les paramètres de recherche ne sont pas identiques, la recherche de perception ne génère pas de résultat précis.

    Procédure

    1. Accédez à la Opérations de sécurité > Intégrations > Configuration de la recherche de perceptions et créez un nouvel enregistrement (voir la table des descriptions de champ).
      Tableau 2. Formulaire Configuration de la recherche de perceptions
      Champ Description
      Nom Nom de la configuration.
      Est une recherche enregistrée La configuration de recherche enregistrée est créée si vous sélectionnez cette option.
      Source de recherche de perceptions La source de la recherche d’observations. Sélectionnez le magasin de journaux Splunk comme source.
      Actives Option pour l’état de la recherche enregistrée. Seules les configurations de recherche actives peuvent être utilisées pour effectuer une recherche d’observations.
      Type d'observable Le type observable peut être n’importe quel type d’observable tel que l’adresse IP, la valeur de hachage, l’URL, le nom de domaine, et ainsi de suite.
      Nombre maximum d'observables par recherche Nombre maximal d’observables à renvoyer à partir de la recherche.
      Rechercher La chaîne de recherche par défaut est $(observable), mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par le magasin de journaux Splunk.
    2. Sélectionnez Envoyer.

    Résultats

    Vous avez créé un enregistrement de configuration de recherche de perceptions.

    Que faire ensuite

    Après avoir défini la requête de recherche, sélectionnez Générer une requête de test de recherche de détections et spécifiez une liste de valeurs observables pour générer une requête de test basée sur cette configuration de recherche enregistrée.