Définir l’acteur de menace

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 6 minutes de lecture

    • Définissez les acteurs de menace qui sont des individus, des groupes ou des organisations qui agissent avec une intention malveillante.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Bibliothèque de Renseignements sur les menaces dans l’espace de travail.
    3. Accédez à l’objet Acteur de menace .
    4. Cliquez sur Nouveau.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objets pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    5. Remplissez les champs du formulaire.
      Tableau 1. Vue des détails de l’acteur de menace
      Champ Description
      ID ID unique d’un plan d’action pour prévenir une attaque.
      Nom Entrez un nom descriptif pour identifier l’emplacement.
      Description Description qui fournit plus de détails et de contexte sur l’ensemble d’intrusions, y compris potentiellement son objectif et ses principales caractéristiques.
      Alias Une liste d’autres noms pour identifier cet acteur de menace.
      Remarque :
      Pour ajouter un nouvel alias qui n’existe pas dans l’application, cliquez sur l’icône Ajouter de nouveaux alias qui est disponible dans le champ Alias lui-même.
      Objectifs Les objectifs de haut niveau de cet acteur de la menace, à savoir ce qu’ils essaient de faire. Par exemple, ils peuvent être motivés par un gain personnel, mais leur objectif est de voler des numéros de carte de crédit.
      Types d'acteurs de menace Le(s) type(s) de cet acteur de menace.
      Rôles d'acteur de menace Les différents rôles d’acteur de menace pour cet objet.
      Premier observé Heure à laquelle cet acteur de menace a été vu pour la première fois.

      Cette propriété est une propriété récapitulative des données provenant d’observations et d’autres données qui peuvent ou non être disponibles dans STIX. Si de nouvelles observations sont reçues avant le premier horodatage vu, l’objet peut être mis à jour pour tenir compte des nouvelles données.
      Dernier observé Heure à laquelle cet acteur de menace a été vu pour la dernière fois.
      Motivation principale La raison, la motivation ou le but principaux derrière cet acteur de menace. La motivation est la raison pour laquelle l’acteur de la menace souhaite atteindre l’objectif (ce qu’il essaie d’atteindre).

      Par exemple, un acteur de la menace dont l’objectif est de perturber le secteur financier d’un pays peut être motivé par une haine idéologique du capitalisme.
      Sophistication Compétence, connaissances spécifiques, formation spéciale ou expertise qu’un acteur de menace doit posséder pour effectuer l’attaque.
      Motivations secondaires Cette propriété spécifie les raisons, les motivations ou les objectifs secondaires derrière cet acteur de menace.

      Ces motivations peuvent exister en tant que cause égale ou presque égale à la motivation principale. Cependant, cela ne remplace pas ou n’amplifie pas nécessairement la motivation principale, mais cela peut indiquer un contexte supplémentaire. La position dans la liste n’a aucune signification.
      Niveau de ressource Niveau organisationnel auquel cet acteur de menace travaille généralement, qui à son tour détermine les ressources dont il dispose pour une utilisation dans une attaque. Cet attribut est lié à la propriété de sophistication : un niveau de ressource spécifique implique que l’acteur de la menace a accès à au moins un niveau de sophistication spécifique.
      Fiabilité Entrez la confiance pour ce plan d’action.
      TLP Le TLP est utilisé pour s’assurer que les informations sensibles sont partagées avec le public approprié. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement d’objet est créé.
      Révoqué Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.
      Tableau 2. Aperçus
      Champ Description
      Notes Ajoutez des notes supplémentaires pour cet acteur de menace.
      Tableau 3. Informations supplémentaires
      Champ Description
      Contexte supplémentaire Ajoutez tout contexte supplémentaire pour ce modèle d’attaque.
      Version de spéc. Version de la spécification STIX utilisée pour représenter cet objet.

      La valeur de cette propriété doit être 2,1 pour les objets STIX définis conformément à cette spécification.
      Langue Cette propriété identifie la langue du contenu textuel dans cet objet.
      Heure de création dans la source Spécifie l’heure de création de l’objet dans la source.
      Extensions Indique les extensions du modèle d’attaque.
      Heure de modification dans la source Spécifie l’heure à laquelle l’objet est modifié dans la source.
      État du traitement Représente l’état de traitement de cet objet et le déroulement de l’action.
      Date de création Spécifie la date et l’heure auxquelles l’objet est créé dans la source.
      Mis à jour Spécifie la date et l’heure auxquelles l’objet a été mis à jour dans la source.
      Créé par réf. Cette propriété spécifie que l’objet d’identité qui décrit l’entité a créé cet objet.
    6. Cliquez sur Enregistrer.
      Une fois que vous avez enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    7. Cliquez sur Continuer.
      Important :
      Après avoir créé un enregistrement d’observable, la case Empêcher les mises à jour système s’affiche.

      Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observables, d’indicateurs ou d’objets STIX.

      Tableau 4. Balises et taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées à l’auteur de la menace.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez une taxonomie associée à cet acteur de menace.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées à cet acteur de menace.

    Que faire ensuite

    Cliquez sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés à l’auteur de la menace.
    Tableau 5. Enregistrements connexes
    Champ Description
    Références externes Répertorie les références externes qui font référence à des informations non STIX. Cette propriété permet de fournir un ou plusieurs identificateurs d’objet externes.
    Schémas d'attaque Répertorie les schémas d’attaque qui permettent de catégoriser les attaques associées à cet objet.
    Campagnes Répertorie les campagnes associées à cet objet.
    Identités Liste des identités associées à cet objet.
    Infrastructure Répertorie les systèmes, les services logiciels et toutes les ressources physiques ou virtuelles associées à cet objet.
    Ensembles d'intrusion Répertorie un ensemble de comportements et de ressources contradictoires ayant des propriétés communes associées à cet objet.
    Emplacements Liste des emplacements associés à cet objet.
    Programme malveillant Répertorie le code malveillant associé à cet objet.
    Définitions marketing Répertorie les définitions marketing associées à cet objet.
    Observables Répertorie les observables associés à cet objet.
    Perceptions Liste les perceptions associées à cet objet.
    Outils Répertorie les logiciels légitimes utilisés par les auteurs de menace pour effectuer les attaques associées à cet objet.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes de Renseignements sur la menace.
    2. Les différents SDO de la bibliothèque TI contiennent également les relations potentielles. Pour établir des relations entre deux objets, utilisez le lien Relations potentielles de la bibliothèque Renseignements sur les menaces pour confirmer les relations entre les objets. Pour plus d'informations, consultez Confirmer les relations éventuelles objet-objet.
    3. Utilisez également la section Related Records (Enregistrements connexes ) de la vue de formulaire d’objets pour confirmer les relations entre deux objets à l’aide de la section Potential Relationships (Relations potentielles ) disponible dans la vue de formulaire. Pour plus d’informations sur le fichier Confirmer les relations éventuelles à partir d’enregistrements connexes.
    4. Vous pouvez ajouter des objets aux tickets. Pour plus d'informations, consultez Ajouter au ticket.