Utilisation du canevas d’enquête

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Le canevas d’examen est une fonctionnalité clé et importante, qui fournit des informations plus précieuses aux analystes de Renseignements sur les menaces (TI). Il fournit un cadre de travail structuré en mappant les relations un à un ou un à plusieurs et en visualisant les informations relatives aux observables, aux indicateurs de compromission (IOC) ou aux entités.

    En utilisant le canevas d’enquête, les analystes des menaces peuvent efficacement :
    • Mapper les relations : visualisez les connexions de nœuds entre diverses entités telles que les observables, les indicateurs de compromission (IOC), les acteurs de menace, les modèles d’attaque, les actifs affectés, etc. Chaque objet du canevas d’examen est représenté par une couleur spécifique, ainsi que son type d’objet, son type de nœud et son état. L’état reflète la réputation de l’objet, par exemple Suspect,Faible ou Critique pour les observables et autres types d’objets. Les indicateurs sont affichés avec leur gravité de menace associée pour aider à hiérarchiser l’analyse.
    • Lier les tickets ou les canevas : liez un ticket ou un canevas pour améliorer l’analyse et fournir une vue plus complète du paysage des menaces dans la gestion des tickets.
      • La fonction de liaison permet aux analystes d’ajouter ou de supprimer des nœuds dynamiquement. Cela remplit également les relations existantes entre les nœuds et le canevas.
      • Graphiques des relations temporaires en enregistrant les relations séparément dans le contexte du canevas d’enquête.
    • Associations de techniques MITRE : associez ou supprimez des techniques MITRE à des nœuds directement sur le canevas et fournissez une analyse sur la carte de chaîne de frappe MITRE.

    Points d’entrée pour le canevas d’examen

    1. Premier point d’entrée : Nouveau canevas vierge : Ce point d’entrée doit permettre aux analystes d’ouvrir un nouveau canevas vierge sans aucun nœud ni lien.
    2. Deuxième point d’entrée : canevas ouvert dans l’enquête sur le ticket :
      1. Ce point d’entrée ouvre un ticket d’enquête existant et permet d’éditer, de modifier et de renommer le canevas.
      2. Un nouveau canevas avec des artefacts existants comme nœuds.