Partage des enregistrements de renseignements sortants à partir de l’interface graphique

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Cette section décrit la fonctionnalité qui permet aux utilisateurs de partager des enregistrements d’intelligence directement à partir de la bibliothèque Threat Intelligence (TI) au sein de l’application TISC .

    Avant de commencer

    Rôle requis :
    • sn_sec_tisc.analyste
    • sn_sec_tisc.admin

    Pourquoi et quand exécuter cette tâche

    L’accès aux modèles de partage est régi par plusieurs restrictions définies dans chaque modèle. Ces restrictions spécifient si un modèle est disponible pour tous les utilisateurs ou limité à des utilisateurs ou groupes d’utilisateurs spécifiques. Par conséquent, seuls les modèles autorisés par ces paramètres seront visibles lorsque les utilisateurs lanceront le processus de partage d’intelligence .

    Seuls les utilisateurs disposant d’un rôle d’analyste peuvent partager les données d’intelligence de l’interface graphique avec les systèmes externes. La fonctionnalité de partage d’intelligence s’applique également aux différentes autres entités de la bibliothèque de renseignements sur les menaces, y compris les observables, les indicateurs et les objets tels que les schémas d’attaque, les acteurs de menace, etc.

    Voici la procédure pour partager l’intelligence à partir de la vue de formulaire des enregistrements d’observables.

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de Renseignements sur les menaces > Observables > Tous les observables.
    2. Ouvrez n’importe quel enregistrement d’observable(s).
    3. Cliquez sur le bouton Partager l’intelligence .
      La boîte de dialogue Sélectionner un modèle d’intelligence sortante s’affiche.
    4. Sélectionnez le modèle d’intelligence sortante requis à partir de la recherche.
      Remarque :
      Le lien hypertexte Afficher les inclusions de modèles par défaut (tables et attributs) vous permet d’afficher tous les attributs inclus.
    5. Cochez la case Lier automatiquement les enregistrements connexes de l’intelligence sélectionnée ainsi que pour lier automatiquement les enregistrements connexes à l’enregistrement de partage et enregistrer les détails.
    6. Sélectionnez Envoyer.
      Une fois que vous avez soumis les enregistrements pour le partage des renseignements, seuls les modèles accessibles s’affichent.
      1. Configurations des règles d’exclusion des données : les enregistrements sont exclus s’ils correspondent aux critères définis dans vos règles d’exclusion des données. Pour plus d'informations, consultez Configuration de la règle d’exclusion des données Intel sortantes.
      2. Contrôles de modèle de partage sélectionnés : les enregistrements sont filtrés en fonction des contrôles définis dans les modèles de partage sélectionnés. Pour plus d'informations, reportez-vous à la section Configuration des modèles de partage Intel sortants.

      En fonction de ces critères de configuration, les enregistrements pertinents seront exclus du partage.

    7. Cliquez sur Sélectionner pour créer un enregistrement de partage des renseignements sortant.
      Apportez les modifications nécessaires, si nécessaire.
    8. Cliquez sur Enregistrer pour enregistrer les valeurs modifiées sur le formulaire Données d’intelligence sortantes .
    9. Sélectionnez Soumettre pour soumettre l’enregistrement de partage pour soumission.
      Dans la section Détails de l’enregistrement de partage, l’application remplit automatiquement les valeurs configurées dans les entrées préremplies de la page Modèles de partage Intel sortants. Pour plus d'informations, consultez Configuration des modèles de partage Intel sortants.
      Remarque :
      Voici les propriétés système pour l’enregistrement d’intelligence sortant.
      Nom Description
      shared_intelligence_entity_threshold Limite de seuil d’enregistrement : cette propriété contrôle le nombre maximal d’enregistrements individuels qui peuvent être inclus dans un seul enregistrement de renseignement sortant.
      • La limite par défaut est de 1 000 enregistrements.
      • La limite maximale est de 10 000 enregistrements.
      shared_intelligence_exclusion_work_notes_count Limite d’enregistrements exclus : cette propriété contrôle le nombre de lignes affichées par note de travail dans le flux d’activité.
      • Par défaut : 10 lignes par note de travail.
      • Maximum : 100 lignes par note de travail.

      Si le nombre de lignes dépasse la limite spécifiée, les enregistrements sont répartis dans plusieurs notes de travail pour garantir la lisibilité et l’expérience utilisateur.
    10. Accédez à la section Dossiers de renseignement .
      Cette section affiche tous les enregistrements de renseignements qui font partie de l’enregistrement de partage sélectionné.
    Affichage de la section Enregistrements d’intelligence :
    Remarque :
    La section Enregistrements de partage des renseignements n’est visible que lorsque l’enregistrement de partage est à l’état Brouillon et non visible si l’enregistrement de partage est dans d’autres états tels que Traité, En attente d’approbation , etc.
    Vous pouvez afficher la liste complète des observables, des objets et des entités connexes qui sont regroupés et partagés dans le cadre de l’enregistrement.
    Lorsque vous accédez à la section Enregistrements de partage des renseignements , vous voyez une vue structurée de toutes les entités de renseignement associées à cet enregistrement, présentée dans le panneau latéral gauche de la page.
    • Configuration du modèle : les tables d’entités affichées dans cette vue sont basées sur les contrôles de partage définis dans le modèle de partage associé à l’enregistrement de partage.
    • Regroupement d’entités : le premier regroupement de haut niveau concerne les observables. Vous verrez également des observables de niveau enfant tels que Fichier, Adresse IP et d’autres types pertinents. Les indicateurs et les objets sont également répertoriés après les observables.
    • Relations : affiche les relations entre les entités partagées. Six types de relations différents sont représentés, chacun étant organisé dans sa table de relations correspondante pour plus de clarté et de structure.
    Remarque :
    Show lists at least one record (Afficher les listes avec au moins un enregistrement ) est un bouton bascule disponible pour filtrer et afficher rapidement uniquement les tables d’entités qui contiennent des données.
    1. Cliquez sur Modifier les colonnes pour modifier les colonnes de la vue de liste.
      La boîte de dialogue Sélectionner des colonnes s’affiche, vous permettant de configurer les colonnes à afficher dans la vue de liste.
    2. En outre, si vous souhaitez modifier les détails des enregistrements, sélectionnez Modifier les enregistrements.
      Lorsque vous sélectionnez cette action, vous pouvez modifier un ou plusieurs enregistrements. Supposons que vous modifiez un ou plusieurs enregistrements ou que vous procédiez à une modification en bloc, vous êtes autorisé à modifier uniquement les champs facultatifs de l’enregistrement. Lorsqu’une option de modification en bloc est sélectionnée, toutes les valeurs des champs sont effacées. Lorsque vous fournissez une valeur et que vous enregistrez , ces valeurs s’appliquent à tous les enregistrements sélectionnés.
      Remarque :
      Les modifications apportées aux enregistrements d’entités présents dans la section des enregistrements de renseignement ne sont pas appliquées aux enregistrements de bibliothèque correspondants. Par exemple, si vous modifiez la description d’un modèle d’attaque, ce changement aura un impact sur le modèle d’attaque correspondant dans la bibliothèque de renseignements sur les menaces.
    3. Cliquez sur Ajouter pour ajouter des enregistrements à l’enregistrement de partage et une confirmation s’affiche indiquant que les enregistrements sélectionnés ont été ajoutés avec succès.
      Remarque :
      Si des règles d’exclusion sont configurées pour le partage d’enregistrements, tous les enregistrements sélectionnés qui répondent aux critères de règles d’exclusion sont automatiquement ignorés. Ces enregistrements ne seront pas ajoutés aux enregistrements de renseignement. Un message d’erreur approprié s’affiche pour informer l’utilisateur et des informations détaillées sur les enregistrements exclus sont enregistrées dans le flux d’activité.
    4. Cliquez sur Supprimer pour supprimer les enregistrements de l’enregistrement de partage.
    5. Sélectionnez le bouton Activer la rédaction pour activer la rédaction des enregistrements de partage.
      Activer la rédaction
      Remarque :
      Pour activer la bibliothèque de caviardage, assurez-vous de configurer la bibliothèque de caviardage. Pour plus d'informations, reportez-vous à la section Travailler sur la bibliothèque de rédaction.

      L’option Activer la rédaction vous permet de supprimer ou de masquer automatiquement les informations sensibles en biffant le contenu sensible avant de partager des enregistrements d’intelligence. L’activation de la rédaction garantit que les données confidentielles sont protégées et non exposées pendant le partage d’informations.

      Une fois cette option activée, l’icône Bibliothèque de rédaction apparaît dans le menu contextuel de droite, donnant accès à une liste de toutes les catégories de rédaction disponibles et des valeurs de catégorie de rédaction définies dans la bibliothèque de rédaction de la section Administration .

      Exemple : Si vous caviardez un nom d’organisation, tel que Service_Now, et que Service_Now est ajouté en tant que valeur de catégorie de rédaction sous la catégorie Organization_Name , toutes les occurrences de Service_Now seront remplacées en utilisant le format suivant :

      #{Organization_Name}#.

      En activant l’option Caviardage, le système caviarde automatiquement le nom de l’organisation avant de le partager. La capture d’écran suivante montre la valeur de catégorie expurgée.

      Valeur de catégorie de caviardage
    6. Accédez à la section Examen pour examiner l’enregistrement d’intelligence de l’enregistrement de partage sélectionné.
    7. Facultatif : Sélectionnez Désactiver la rédaction pour désactiver la rédaction des enregistrements de partage, si nécessaire.
    Examiner les enregistrements Intelligence
    1. Accédez à la section Examiner pour examiner les enregistrements dans l’enregistrement de partage.
      Les sections d’examen fournissent une vue instantanée qui résume toutes les entités incluses dans le partage de renseignements. L’enregistrement affiche le résumé rapide des éléments suivants :
      • Détails : affiche les détails de l’enregistrement de partage en mode lecture seule.
      • Attributs d’entité de partage : affiche les contrôles de partage définis dans le modèle de partage associé à un enregistrement de partage.
      • Règles d’exclusion : affiche les règles d’exclusion configurées.
      • Bibliothèque de rédaction : affiche la bibliothèque de rédaction configurée dans la section Administration . Pour plus d'informations, consultez Travailler sur la bibliothèque de rédaction.
    2. Apportez les modifications nécessaires dans la section Révision , puis cliquez sur Envoyer pour soumission.
      Un message de confirmation s’affiche et vous invite à soumettre l’enregistrement pour traitement. Si vous souhaitez continuer, sélectionnez Soumettre.

      Une fois l’envoi effectué, l’état de l’enregistrement de partage des renseignements sortant passe de Brouillon à En attente d’approbation. L’état bascule sur En attente d’approbation uniquement lorsque les règles d’approbation sont configurées pour l’intelligence sortante. Pour plus d'informations, consultez Définition d’une règle d’approbation pour les informations sortantes.

    3. Sélectionnez le bouton Approuver pour approuver l’enregistrement de renseignements sortant.
    4. Ajoutez des commentaires, si nécessaire, et sélectionnez Approuver dans la boîte de dialogue Approuver l’intelligence sortante .
    5. Sélectionnez également le bouton Rejeter pour rejeter l’enregistrement de renseignements sortant.
    6. Fournissez un motif et sélectionnez Rejeter dans la boîte de dialogue Rejeter l’intelligence sortante .

      Une fois que vous avez refusé, l’état de l’enregistrement de partage de renseignements sortant devient Rejeté.

      Remarque :
      Sélectionnez le bouton Modifier et apportez les modifications nécessaires en fonction des commentaires de refus. L’état revient à Brouillon lorsque vous choisissez de modifier les enregistrements et de les soumettre à nouveau.

      Si aucune règle d’approbation n’est définie ou si l’enregistrement est déjà approuvé, l’enregistrement de partage des renseignements sortant passe à l’état En attente de traitement . À cette étape, les données d’intelligence sont partagées en externe, après quoi l’état passe à Traité. Pour plus d'informations, consultez Définition d’une règle d’approbation pour les informations sortantes.

    7. Accédez aux tâches publiées pour afficher les tâches publiées pour l’enregistrement de partage.
      Pour chaque profil de renseignement sortant, il y aura une tâche publiée et l’état peut être suivi via ces tâches publiées.

      Pour plus de détails, lorsque vous cliquez sur l’une des tâches publiées, les détails de la tâche s’affichent, tels que la charge utile, l’état, et ainsi de suite.

      Si un problème se produit côté récepteur lors de l’envoi de données au point de terminaison correspondant, l’application réessaie automatiquement jusqu’à 5 fois par défaut. Pour modifier le nombre de nouvelles tentatives, vous pouvez modifier la valeur à l’aide de la propriété système suivante :

      sn_sec_tisc.shared_intelligence_retry_count