Analyser, évaluer et diffuser les observables

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Découvrez comment analyser et diffuser des observables liés à la menace.

    Avant de commencer

    Rôle requis :
    • Administrateur système (afficher, créer ou modifier)
    • sn_sec_tisc.admin (vue)

    Pourquoi et quand exécuter cette tâche

    Chaque fois qu’un enrichissement de la recherche d’observations est demandé, il revient sans observations.

    Procédure

    1. Accédez à la Tous > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Sélectionner Flux automatisés.
    3. Sélectionnez Analyser, évaluer et diffuser sur le lien IoC liés à l’action de menace pour afficher les détails des règles respectives dans le concepteur de flux.
    4. Affichez l’action du Concepteur de flux pour le déclencheur suivant : 
      Sighting Created where (Sighting count is 0)
    5. L’observable a un score de menace supérieur à 80, une confiance supérieure à 80 et une réputation malveillante :
      1. Ajoutez l’observable à la liste de refus.
      2. Arrêtez le flux pour cet observable.
    6. Sinon, la réputation de l’observable est suspecte et le score de menace est compris entre 60 et 80 :
      1. Ajoutez une balise appelée Nouvelle menace potentielle.
      2. Ajoutez l’observable à la liste de surveillance.
      3. Créez une tâche de ticket avec l’équipe CTI pour suivre cet observable et l’analyser plus en détail.
      4. Lier l’observable au ticket pour enquête.
        Analyser, évaluer et diffuser sur les IoC liés à la menace.