Définir un observable

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Les observables peuvent être récupérés à partir de l’ingestion de flux planifiée ou de l’assistant d’importation. Toutefois, vous pouvez créer des observables selon vos besoins.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de Renseignements sur les menaces > Observables > Tous les observables.
    2. Cliquez sur Nouveau.
    3. Sélectionnez le type d’observable.
      Le formulaire d’enregistrement Créer un observable s’affiche.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objets pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    4. Remplissez les champs du formulaire.
      Remarque :
      Chaque fois que vous créez un nouvel observable ou que vous affichez les observables existants, le volet Pièces jointes s’affiche par défaut dans la vue de formulaire. Vous pouvez cliquer sur l’icône Pièces jointes dans le menu contextuel de droite ou accéder à Préférences > Espaces de travail et désactivez l’option Afficher la barre latérale. Pour plus d’informations, consultez la section Configurer les préférences de l’espace de travail Next Experience.
      Tableau 1. Section Détails
      Champ Description
      Valeur Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Description Description de l’enregistrement de l’observable.
      Auteur Saisissez le nom.
      Type Type de classification de l’observable, tel qu’une adresse IP, un nom de domaine, un artefact, un répertoire, un fichier ou un hachage.

      Par défaut, il s’affiche lorsque vous sélectionnez le nouvel enregistrement.
      Statut État actif ou inactif de l’observable.
      Phases d'attaque Représente la phase d’attaque d’une chaîne de frappe telle que LM, MITRE ATT&CK.
      TLP Valeur unique qui indique le paramètre de sensibilité des données par TLP.
      Réputation Spécifie la réputation malveillante de l’observable.
      Statut Saisissez l’état de l’observable s’il est actif ou inactif.
      Score de menace Indique le score de menace pour cet observable.
      Délai d'expiration Spécifie le délai d’expiration de l’enregistrement de l’observable.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement est créé.
      Fiabilité Saisissez le score de confiance pour cet enregistrement d’observable.

      La propriété de confiance identifie la confiance que le créateur a dans l’exactitude de ses données. La valeur de confiance DOIT être un nombre compris entre 0 et 100.
      Empêcher les mises à jour système Définir ce marqueur sur vrai empêchera le système de remplacer les valeurs des champs de l’enregistrement.
      Est un faux positif Marqueur booléen qui indique si l’observable est identifié comme faux positif.
      Tableau 2. Attributs
      Champ Description
      Résolution à Spécifie une liste de références à une ou plusieurs adresses IP ou noms de domaine auxquels le nom de domaine se résout.
      Est FQDN Un nom de domaine complet (FQDN) est l’adresse complète d’un hôte Internet ou d’un ordinateur. Il fournit son emplacement exact dans le système de noms de domaine (DNS) en spécifiant le nom d’hôte, le nom de domaine et le domaine de premier niveau (TLD).
      Tableau 3. Informations supplémentaires
      Champ Description
      Niveau de menace Indique le niveau de menace de l’enregistrement de l’observable.
      Premier observé Heure à laquelle cet enregistrement observable a été vu pour la première fois en train d’effectuer des activités malveillantes.
      Gravité de la menace Indique la gravité de la menace de l’enregistrement de l’observable.
      Dernier observé Heure à laquelle cet enregistrement observable a été vu pour la dernière fois en train d’effectuer des activités malveillantes.
      Catégories d'utilisation Catégories auxquelles appartient l’observable, telles que botnet ou hameçonnage.
      Phases d'attaque Représente la phase d’attaque d’une chaîne de frappe telle que LM, MITRE ATT&CK.
      Contexte supplémentaire Ajoutez un contexte supplémentaire.
      Sources Spécifie la source de menace à partir de laquelle cet enregistrement est créé.
      Important :
      Score rapporté de la source : ce champ contient la valeur agrégée des scores de menace signalés par les sources à partir desquelles l’observable est ingéré. Pour voir ce champ sur le formulaire d’enregistrement d’observable, vous devez l’ajouter manuellement, car il n’est pas disponible par défaut.
      Tableau 4. Attributs
      Champ Description
      Résolution à Spécifie une liste de références à une ou plusieurs adresses IP ou noms de domaine auxquels le nom de domaine se résout.
      Est FQDN Un nom de domaine complet (FQDN) est l’adresse complète d’un hôte Internet ou d’un ordinateur. Il fournit son emplacement exact dans le système de noms de domaine (DNS) en spécifiant le nom d’hôte, le nom de domaine et le domaine de premier niveau (TLD).
      Remarque :
      Les attributs FQDNRésolution à et Est ne s’appliquent qu’au type de nom de domaine des observables.
      Tableau 5. Attributs de type d’observable
      Nom d'attribut Types d'attributs
      Artifact
      • Clé de déchiffrement
      • Algorithme de chiffrement
      • Hachage MD5
      • Type MIME
      • Hachage SHA1
      • Hachage SHA256
      • Hachage SHA512
      • URL
      Numéro AS
      • Nom
      • RIR
      Répertoire
      • Heure de création du répertoire
      • Heure du dernier accès au répertoire
      • Heure de la dernière modification du répertoire
      • Chemin d'accès codé
      Nom du domaine
      • Est FQDN
      • Résolution à
      Adresses e-mail
      • Nom complet
      • Corps de l'e-mail
      • Destinataires d'e-mail Bcc
      • Destinataires d'e-mail Cc
      • Destinataires d'e-mail à
      • Expéditeur d'e-mail
      • Objet de l'e-mail
      • Date d'envoi
      Fichier
      • Informations supplémentaires
      • Nom de fichier codé
      • Heure de création du fichier
      • Heure du dernier accès au fichier
      • Heure de la dernière modification du fichier
      • Nom du fichier Nombre magique
      • Hachage MD5
      • Type MIME
      • Hachage SHA1
      • Hachage SHA256
      • Hachage SHA512
      Adresse IPv4
      • Numéro AS
      • Adresse MAC
      CIDR IPv4
      • Numéro AS
      • Adresse MAC
      Adresse IPv6
      • Numéro AS
      • Adresse MAC
      CIDR IPv6
      • Numéro AS
      • Adresse MAC
      Réseau
      • Octets de destination
      • Nombre de paquets de destination
      • Port de destination
      • Heure de fin
      • Longueur de corps de message HTTP
      • En-tête de demande HTTP
      • Méthode de demande HTTP
      • Valeur de demande HTTP
      • Version de demande HTTP
      • Octet de code ICMP
      • Octet de type ICMP
      • Le réseau est-il actif ?
      • L'embase bloque-t-elle ?
      • L'embase est-elle à l'écoute ?
      • Protocoles réseau
      • Famille d'adresses d'embases
      • Descripteur d'embase
      • Traitement d'embase
      • Options d'embase
      • Nombre d’octets source de type d’embase
      • Nombre de paquets source
      • Port source
      • Heure de début
      • Marqueurs de destination TCP
      • Marqueurs source TCP
      Processus
      • ASLR activée
      • Ligne de commande
      • Répertoire de travail actuel (CWD)
      • DEP activée
      • Variables environnementales
      • Est masqué
      • SID du propriétaire
      • ID de processus
      • Priorité
      • Heure de création de processus
      • Descriptions des services
      • Nom d'affichage du service
      • Nom du groupe de services
      • Nom de service
      • Type de démarrage de service
      • État de service Type de service
      • Information sur le démarrage
      • Niveau d'intégrité Windows
      • Titre de la fenêtre
      Logiciel
      • Common Platform Enumeration (CPE)
      • Langues prises en charge
      • Identification logicielle (SWID)
      • Version du fournisseur
      Compte d'utilisateur
      • Heure de création du compte
      • Délai d'expiration du compte
      • Connexion au compte
      • Type de compte
      • Informations supplémentaires
      • Peut escalader les privilèges
      • Heure de la dernière modification des informations d'identification
      • Nom d'affichage
      • Heure de la première connexion
      • Le compte est-il désactivé ?
      • Est doté de privilèges
      • Est un compte de service
      • Heure de la dernière connexion
      • ID d'utilisateur
      Clé de registre Windows
      • Clé modifiée
      • Valeur de registre temporel
      • Nombre de sous-clés
      Certificat X.509
      • Informations supplémentaires
      • Identificateur de clé d'autorité
      • Contraintes de base
      • Politiques de certificat
      • Points de distribution CRL
      • Utilisation de clé étendue
      • Empêcher toute politique
      • Émetteur
      • Nom alternatif de l'émetteur
      • Est signé automatiquement
      • Utilisation de la clé
      • Contraintes de nom
      • Contraintes de politique
      • Mappages de stratégies
      • Date de début de validité de l'utilisation de clé privée
      • Date de fin de validité de l'utilisation de clé privée
      • Algorithme de signature
      • Objet
      • Nom alternatif du sujet
      • Attributs du répertoire d'objet
      • Identificateur de clé d'objet
      • Algorithme de clé publique d'objet
      • Exposant de clé publique d'objet
      • Module de clé publique d'objet
      • Date de début de validité
      • Fin de validité
      • Version
      Tableau 6. Aperçus
      Champ Description
      Notes Ajoutez des notes supplémentaires pour un enregistrement d’observable.
    5. Cliquez sur Enregistrer.
      Une fois que vous avez enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    6. Cliquez sur Continuer.
      Important :
      Après avoir créé un enregistrement d’observable, la case Empêcher les mises à jour système s’affiche.

      Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observables, d’indicateurs ou d’objets STIX.

      Tableau 7. Balises et taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées à un observable.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez la taxonomie associée à un observable.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées à un observable.
      Tableau 8. Enregistrements sources
      Champ Description
      Les détails des enregistrements sources d’un observable sont affichés, le cas échéant.

    Que faire ensuite

    La table suivante répertorie les enregistrements connexes associés aux observables :
    Tableau 9. Enregistrements connexes
    Liste connexe Description
    Observable Liste des observables associés à cet observable.
    Remarque :
    Cette section contient également les relations potentielles entre deux observables. Pour plus d’informations, consultez Confirmer la relation potentielle observable-observable et consultez Définir les relations observable-observable les relations confirmées entre les deux observables.
    Indicateurs Liste des indicateurs associés à cet observable.
    Schémas d'attaque Liste des schémas d’attaque associés à cet observable.
    Campagnes Répertoriez les campagnes associées à cet observable.
    Infrastructure Répertoriez l’infrastructure, telle que les systèmes, les services logiciels et toutes les ressources physiques ou virtuelles associées qui sont liées à cet observable.
    Ensembles d'intrusion Répertoriez les ensembles d’intrusion tels qu’un ensemble de comportements contradictoires et de ressources ayant des propriétés communes qui sont liées à cet observable.
    Programme malveillant Répertoriez les enregistrements sources de programmes malveillants associés à cet observable.
    Acteurs de menace Répertoriez les acteurs de menace associés à cet observable.
    Événements de menace Répertoriez les événements de menace qui sont liés à cet observable.
    Vulnérabilités Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante et qui sont liées à cet observable.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes de Renseignements sur la menace.
    2. En outre, dans la section Enregistrements connexes , vous pouvez confirmer les relations entre deux observables à l’aide de la section Relations potentielles disponible dans la vue de formulaire Observables . Pour plus d’informations sur le fichier Confirmer les relations éventuelles à partir d’enregistrements connexes.
    3. Vous pouvez ajouter des observables aux tickets. Pour plus d'informations, consultez Ajouter au ticket.
    4. Vous pouvez également exécuter des actions d’enrichissement sur les observables. Pour plus d'informations, consultez Exécuter des actions d’enrichissement dans un ticket.