Définir des plans d’action

Rversion finale: Australia

Mis à jour 12 mars 2026

4 minutes de lecture

Définir des mesures à prendre pour prévenir une attaque ou pour répondre à une attaque en cours.

Avant de commencer

Rôle requis : sn_sec_tisc.analyst

Procédure

Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
Cliquez sur l’icône Bibliothèque de Renseignements sur les menaces dans l’espace de travail.
Accédez à l’objet Mesures à prendre .
Cliquez sur Nouveau.

Remarque :
Chaque fois que vous créez de nouveaux enregistrements d’objets pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.

Remplissez les champs du formulaire.

Tableau 1. Vue des détails Mesures à prendre
Champ	Description
ID	ID unique des mesures à prendre pour prévenir une attaque.
Nom	Entrez un nom descriptif pour ces mesures à prendre.
Description	Description qui fournit plus de détails et de contexte sur les mesures à prendre, y compris potentiellement leur objectif et leurs principales caractéristiques.
Action	Pour capturer des plans d’action structurés ou automatisés.
TLP	Le protocole TLP (Traffic Light Protocol) indique les informations sensibles partagées avec la bonne audience. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité pour ce modèle d’attaque.
Fiabilité	Entrez la confiance pour ce plan d’action.
Source	Spécifie la source de menace à partir de laquelle cet enregistrement d’objet est créé.
Révoqué	Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.

Tableau 2. Aperçus
Champ	Description
Notes	Ajoutez des notes supplémentaires pour des plans d’action.

Tableau 3. Informations supplémentaires
Champ	Description
Contexte supplémentaire	Ajoutez tout contexte supplémentaire pour ce modèle d’attaque.
Version de spéc.	Version de la spécification STIX utilisée pour représenter cet objet. La valeur de cette propriété doit être 2,1 pour les objets STIX définis conformément à cette spécification.
Langue	Cette propriété identifie la langue du contenu textuel dans cet objet.
Heure de création dans la source	Spécifie l’heure de création de l’objet dans la source.
Extensions	Indique les extensions du modèle d’attaque.
Heure de modification dans la source	Spécifie l’heure à laquelle l’objet est modifié dans la source.
État du traitement	Représente l’état de traitement de cet objet et les mesures à prendre.
Date de création	Spécifie la date et l’heure auxquelles l’objet est créé dans la source.
Mis à jour	Spécifie la date et l’heure auxquelles l’objet a été mis à jour dans la source.
Créé par réf.

Cliquez sur Enregistrer.
Une fois que vous avez enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.

Cliquez sur Continuer.

Important :

Après avoir créé un enregistrement d’observable, la case Empêcher les mises à jour système s’affiche.

Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observables, d’indicateurs ou d’objets STIX.

Tableau 4. Balises et taxonomies
Champ	Description
Balises
Sélectionner des balises	Sélectionnez les balises associées à un observable.
Ajouter des balises	Ajouter de nouvelles balises.
Taxonomies
Sélectionner taxonomie	Sélectionnez une taxonomie associée à un modèle d’attaque.
Ajouter valeurs de taxonomie	Ajoutez les valeurs de taxonomie associées à un modèle d’attaque.

Que faire ensuite

Cliquez sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés aux plans d’action.

Tableau 5. Enregistrements connexes
Champ	Description
Références externes	Répertorie les références externes qui font référence à des informations non STIX. Cette propriété permet de fournir un ou plusieurs identificateurs d’objet externes.
Schémas d'attaque	Répertorie les schémas d’attaque qui permettent de catégoriser les attaques associées à cet objet.
Indicateurs	Répertorie les indicateurs de compromission (IoC) connexes qui ont été identifiés par la source de menace associée à cet objet.
Programme malveillant	Répertorie le code malveillant associé à cet objet.
Définitions marketing	Répertorie les définitions marketing associées à cet objet.
Observables	Répertorie les observables associés à cet objet.
Perceptions	Liste les perceptions associées à cet objet.
Outils	Répertorie les logiciels légitimes utilisés par les auteurs de menace pour effectuer les attaques associées à cet objet.
Vulnérabilités	Répertorie une faiblesse ou un défaut dans un logiciel ou un matériel exploité par des attaquants et associé à cet objet.

Remarque :

Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes de Renseignements sur la menace.
Les différents SDO de la bibliothèque TI contiennent également les relations potentielles. Pour établir des relations entre deux objets, utilisez le lien Relations potentielles de la bibliothèque Renseignements sur les menaces pour confirmer les relations entre les objets. Pour plus d'informations, consultez Confirmer les relations éventuelles objet-objet.
Utilisez également la section Related Records (Enregistrements connexes ) de la vue de formulaire d’objets pour confirmer les relations entre deux objets à l’aide de la section Potential Relationships (Relations potentielles ) disponible dans la vue de formulaire. Pour plus d’informations sur le fichier Confirmer les relations éventuelles à partir d’enregistrements connexes.
Vous pouvez ajouter des objets aux tickets. Pour plus d'informations, consultez Ajouter au ticket.