Exécuter l’intégration de l’enrichissement Have I Been Pwned

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Exécutez l’enrichissement HIBP (Have I Been Pwned) sur un observable d’adresse e-mail ou de nom de domaine pour déterminer s’il a été impliqué dans une violation de données connue.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Assurez-vous que l’intégration Have I Been Pwned est configurée et activée par votre administrateur. Pour plus d'informations, consultez Configurer et activer l’intégration Have I Been Pwned.

    Pourquoi et quand exécuter cette tâche

    L’intégration interroge la base de données HIBP pour déterminer si un observable soumis a été exposé dans le cadre d’une violation de données connue du public.
    Remarque :
    L’intégration prend uniquement en charge les types d’observables suivants :
    • Adresse e-mail
    • Nom du domaine

    La soumission d’un type d’observable non pris en charge, tel qu’une adresse IP ou un hachage de fichier, entraîne l’exclusion de l’observable de l’enrichissement avec un message d’alerte indiquant qu’il s’agit d’un type d’observable non pris en charge. Les observables figurant sur la liste d’autorisation sont également exclus de la soumission.

    Vous pouvez initier l’enrichissement à partir d’un enregistrement observable individuel ou à partir de l’onglet Artefacts d’un ticket lorsque vous utilisez plusieurs observables.

    Procédure

    1. Accédez à l’enregistrement d’observable que vous souhaitez enrichir.
      1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de renseignements sur les menaces et ouvrez n’importe quel enregistrement observable à partir de la bibliothèque de renseignements sur les menaces.

        Vue de formulaire des observables TISC

      2. (Vous pouvez également ouvrir un ticket, naviguer vers l’onglet Artefacts et sélectionner la liste connexe Observables dans le ticket pour exécuter l’enrichissement des observables.
        Artefacts de tickets TISC : observables : exécuter l’enrichissement des éléments observables
    2. Sélectionnez le ou les observables que vous souhaitez soumettre pour enrichissement.
      Lorsque vous travaillez à partir d’un ticket, vous pouvez sélectionner plusieurs observables à la fois. Seuls les observables des types pris en charge sont soumis. Les types non pris en charge et les observables listés sur la liste d’autorisation sont automatiquement filtrés.
    3. Cliquez sur Exécuter l’enrichissement de l’observable.
    4. Sélectionnez Have I Been Pwned dans la liste des intégrations disponibles.
    5. Cliquez sur Envoyer.
      Une entrée de flux d’activités est créée et indique que l’enrichissement a été initié. Une fois le traitement terminé, un enregistrement de résultat est créé dans la table des résultats d’enrichissement.

    Résultats

    Pour afficher les résultats de l’enrichissement :

    1. Accédez à n’importe quel enregistrement d’observable.
    2. Accédez à l’onglet Résultats de l’enrichissement .
    3. Sélectionnez Résultats de l’enrichissement des observables et ouvrez l’enregistrement du résultat.

      Section des résultats d’enrichissement des observables

    Que faire ensuite

    Affichage des résultats de l’enrichissement
    L’enrichissement affiche les résultats correspondants dans les sections suivantes :
    • Détails : fournit le résumé de l’intégration de l’enrichissement de l’observable pour l’observable sélectionné. Cette section comprend le nombre total d’atteintes recensées et un résumé concis des atteintes les plus récentes. Il fournit également la réponse brute renvoyée par l’intégration pour référence.
      Tableau 1. Afficher les détails des résultats de l’enrichissement des observables
      Champ Description
      Numéro Identificateur unique généré par le système pour l’enregistrement d’enrichissement Have I Been Pwned.
      Observable Enregistrement observable tel qu’une adresse e-mail ou un domaine soumis pour identification de violation.
      Date de création Date et heure auxquelles l’enrichissement des observables a été exécuté et l’enregistrement des résultats de l’enrichissement des observables a été créé.
      Résultat Affiche le résultat de l’observable. Lorsqu’un observable est associé à des violations, le résultat affiche les violations trouvées.

      Si aucune violation n’est identifiée, le résultat indique Violations introuvables.
      Résumé Fournit une vue d’ensemble des résultats d’enrichissement des observables, notamment :
      • Nombre total de violations identifiées.
      • les violations les plus récentes.
      • Détails clés tels que le titre de la violation, le domaine et la date de la violation (pour un observable de type domaine).

      Consultez la section Résumé pour un aperçu rapide des résultats des violations.
      Résultat brut Affiche la réponse renvoyée par l’API Have I Been Pwned au format JSON. Ce champ est destiné à des fins de validation et de dépannage.

      Résultats de l’enrichissement de l’observable TISC HIBP : vue détaillée

    • Violations : affiche les enregistrements de violation associés au domaine ou à l’e-mail observable, tels que récupérés à partir de l’intégration HIBP. Chaque enregistrement comprend le titre de la violation, le domaine, la date de la violation, le nombre de comptes affectés, les classes de données exposées et la date à laquelle la violation a été ajoutée à HIBP.
      Tableau 2. Voir Have I Been Pwned Breaches
      Champ Description
      Entrée Have I Been Pwned Entrée unique pour l’enregistrement d’enrichissement.
      Titre titre de la violation, unique pour toutes les violations.
      Domaine Le domaine du site web principal sur lequel la violation s’est produite.
      Ajouté à HIBP La date et l’heure (précision à la minute près) de la violation ont été ajoutées au système au format ISO 8601.
      Occurrences de violations Date (sans heure) à laquelle la violation s’est produite à l’origine au format ISO 8601 (ce n’est pas toujours exact).
      Date de modification La date et l’heure (précision à la minute près) de la violation ont été modifiées au format ISO 8601. Cela ne diffère de l’attribut AddedDate que si d’autres attributs représentés ici sont modifiés ou si les données de la violation elle-même sont modifiées.
      Comptes affectés Nombre total de comptes chargés dans le système.
      Lien externe Lien vers l’enregistrement de violation respectif dans Have I Been Pwned.
      Classe de données Décrit la nature des données compromises dans la violation.
      Description Contient une vue d’ensemble de la violation.
      Chemin d'accès au logo URL qui spécifie où se trouve un logo pour le service endommagé.
      Attribution Parfois demandé par la partie qui fournit les données à HIBP.
      URL de divulgation Lien hypertexte qui contient des informations sur le forum public, telles que les nouvelles rapportées sur la violation.

      Violations des résultats d’enrichissement des observables TISC HIBP.

    Afficher la réponse HTML : sélectionnez ce bouton pour afficher la réponse HTML complète renvoyée par l’intégration Have I Been Pwned pour l’observable sélectionné. Cette vue affiche les données sources non traitées exactement telles qu’elles ont été reçues. Utilisez cette option à des fins de validation, de dépannage ou d’audit pour examiner la charge utile de la réponse.

    Vous pouvez également afficher les marqueurs Have I Been Pwned, qui indiquent les attributs identifiés dans les données sources non traitées, comme décrit dans le tableau suivant.

    Tableau 3. Drapeaux Have I Been Pwned
    Enregistrement connexe Description
    Vérifié Indique que la violation est considérée comme non vérifiée. Une violation non vérifiée est toujours chargée dans HIBP lorsqu’il y a suffisamment de confiance dans la légitimité d’une partie importante des données.
    Programme malveillant Indique que les données proviennent d’une campagne de programme malveillant plutôt que d’une compromission de la sécurité d’un service en ligne.
    Sensible Indique que la violation est considérée comme sensible. L’API publique ne renvoie aucun compte pour une violation marquée comme sensible.
    Fabriqué Indique que la violation est considérée comme fabriquée. Cependant, il contient toujours des adresses e-mail légitimes.
    Journal du voleur Indique si la violation provient de journaux de voleurs.
    Mis hors service Indique que ces données ont été mises hors service (définitivement supprimées) et ne seront pas renvoyées par l’API.
    Liste de courrier indésirable Indique que les données ne proviennent pas d’une compromission de sécurité (ou qu’il s’agit d’une liste de courrier indésirable).
    Abonnement gratuit Indique si la violation est sans abonnement.

    Résultats de l’enrichissement de l’observable TISC HIBP : afficher la réponse HTML

    Remarque :
    L’intégration HIBP fournit uniquement une sensibilisation aux violations. Il ne prend pas en charge les actions de correction ou de résolution des violations, car les violations proviennent de systèmes tiers externes.