Enrichissement automatisé IOC

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Découvrez comment automatiser l’enrichissement des IOC à l’aide de flux lorsqu’ils correspondent à un certain critère.

    Avant de commencer

    Rôle requis :
    • Administrateur système (afficher, créer ou modifier)
    • sn_sec_tisc.admin (vue)

    Pourquoi et quand exécuter cette tâche

    Automatisez l’enrichissement des déclencheurs d’IOC uniquement lorsque :
    • Le type d’observable est un nom de domaine, une adresse IPv4 ou une adresse IPv6.
    • L’observable est dans un état Traité.
    • l’observable n’a pas les balises enrichies ou Ignorer l’enrichissement.

    Procédure

    1. Accédez à la Tous > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Sélectionner Flux automatisés.
    3. Sélectionnez le lien de l’action d’enrichissement IOC automatisée pour afficher les détails des règles respectives dans le concepteur de flux.
    4. Affichez l’action du Concepteur de flux pour le déclencheur suivant : 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. Si l’observable est une adresse IPv4 ou IPv6 et qu’il se trouve dans une plage CIDR autorisée, alors :
      1. Ajouter l’observable à la liste d’autorisation.
      2. Mettez à jour les balises des observables sur Ignorer l’enrichissement.
      3. Arrêtez le flux pour cet observable.
    6. Sinon, enrichissez les données observables avec les options disponibles :
      1. Effectuez une recherche de menace et une recherche de perception pour recueillir des informations supplémentaires sur l’observable.
      2. Mettez à jour l’observable avec des données enrichies.
      3. Ajouter une balise Enrichi pour indiquer que l’IOC a été traité.
    7. En outre, si la réputation des observables est propre, alors :
      1. Marquez l’observable comme faux positif et inactif.
    8. Sinon, si la réputation de l’observable est inconnue
      1. Ajouter la balise Not Potential Threat & Enriched (Pas de menace potentielle) et Enriched (Enrichi) pour indiquer qu’il ne s’agit pas d’une menace.
      Enrichissement automatisé de l’IOC dans TISC.