Configurer des types d’événements personnalisés pour la chronologie

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Le composant Chronologie du canevas d’examen fournit une vue d’ensemble chronologique de tous les événements liés à une entité sélectionnée. Cette fonctionnalité permet aux analystes de suivre les actions, les mises à jour et les changements au fil du temps, offrant ainsi une perspective historique complète de l’activité de l’entité. Par conséquent, il permet une analyse efficace de la menace temporelle.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Pourquoi et quand exécuter cette tâche

    En tant qu’administrateur, vous pouvez configurer les types d’événements personnalisés pour aligner la chronologie sur les besoins d’enquête de l’organisation, garantir que les événements pertinents sont mis en évidence et améliorer l’analyse temporelle des menaces.

    Les analystes peuvent ajouter, modifier ou supprimer des événements associés aux enregistrements de renseignements. La chronologie préserve également les plages de dates spécifiques à l’utilisateur pour chaque canevas, offrant une expérience d’analyse cohérente et détaillée. Pour plus d'informations, consultez Ajout d’événements de chronologie au canevas.

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Administration > Contrôles de mappage de nœud > Type d'événement personnalisé de chronologie.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs comme il convient.
      ChampDescription
      Nom d'événement Nom unique qui identifie l’activité ou l’occurrence d’événement spécifique enregistrée sur la chronologie.

      Il sert d’étiquette primaire pour chaque événement, afin de vous aider à comprendre rapidement le nœud créé, l’état mis à jour ou tout autre détail supplémentaire.
      Description Description du type d’événement pour fournir le contexte de l’événement.
      Statut Indique l’état actuel d’un événement sur la chronologie.
      Icône Icône qui apparaît sur la chronologie pour représenter visuellement les événements de ce type.
      Couleur Spécifie la couleur de l’icône qui représente l’événement sur la chronologie.
    4. Enregistrez la configuration de l’événement de chronologie personnalisée.
      Remarque :
      Par défaut, l’événement de chronologie personnalisée est désactivé jusqu’à ce que vous l’activiez manuellement.
    5. Accédez à la section Configuration d’événement de chronologie pour ajouter ou supprimer les objets ou les observables.
      Configuration de la chronologie
    6. Sélectionnez Ajouter pour ajouter ou modifier l’entité et la table applicable pour un objet ou un observable, ce qui signifie que vous pouvez maintenant spécifier les tables auxquelles la chronologie s’applique.
    7. Sélectionnez l’entité.
      Vous pouvez choisir d’ajouter un objet ou un observable. Lorsqu’un objet est sélectionné, l’application affiche toutes les tables applicables qui lui sont associées. Vous pouvez modifier la liste en ajoutant ou en supprimant des entrées selon vos besoins.

      Dans la section Configuration des événements de chronologie, le champ Table incluse indique les types d’enregistrements spécifiques auxquels chaque événement s’applique. En tant qu’administrateur, par exemple, vous pouvez supprimer une entité telle qu’une vulnérabilité de la liste si l’événement ne doit plus s’appliquer à cette vulnérabilité. Lorsqu’une entité de type vulnérabilité est supprimée, l’événement n’est plus déclenché pour cette vulnérabilité.

      Remarque :

      Événements par défaut pour les observables : certains événements sont automatiquement affichés pour des observables spécifiques. Par exemple, les observables de fichier incluent les champs Premier vu et Dernier vu .

      La propriété système sn_sec_tisc.timeline_node_fields mise en service dans le système de base qui détermine quels champs doivent être affichés dans la chronologie.

      Par défaut, il contient les champs first_seen et last_seen. Vous pouvez modifier cette propriété pour ajouter de nouveaux champs ou supprimer les champs existants en fonction de vos besoins.

      • Lorsqu’un observable de fichier est ajouté au canevas, ces événements sont affichés par défaut.
      • Ces événements par défaut ne sont pas pilotés par la configuration et s’affichent automatiquement en fonction des valeurs renseignées dans l’enregistrement des observables.
      • Si Premier observé et Dernier observé contiennent des valeurs, les événements correspondants sont affichés sur le canevas sans configuration supplémentaire.
    8. Sélectionnez Enregistrer pour confirmer vos modifications.
      Une fois cela fait, vous pouvez revenir en arrière et activer votre événement de chronologie personnalisé. Cette action confirme que l’événement de chronologie personnalisé est applicable aux tables spécifiées.
      Remarque :

      Après la configuration, chaque événement peut être activé ou désactivé.

      • Les événements activés peuvent être sélectionnés dans le canevas d’examen et ajoutés aux nœuds pertinents.
      • Les événements désactivés sont masqués dans la liste Ajouter un événement de chronologie et ne peuvent pas être ajoutés à la chronologie.

    Que faire ensuite

    Une fois l’événement configuré, vous pouvez accéder au canevas d’examen pour vérifier l’entrée de chronologie et ajouter ou modifier des entrées. Pour plus d'informations, consultez Ajout d’événements de chronologie au canevas. Pour en savoir plus sur l’utilisation de la fonction de chronologie, reportez-vous à la section Utilisation de la chronologie dans le canevas d’enquête.