Configurer Renseignements sur les menaces

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 22 minutes de lecture

    • Avant de l’exécuter Renseignements sur les menaces dans votre instance, vous devez la télécharger à ServiceNow Storepartir du fichier . Vous pouvez également configurer des propriétés et définir une source de menace.

    Installer Renseignements sur les menaces

    Avant de l’exécuter Renseignements sur les menaces dans votre instance, vous devez la télécharger à ServiceNow Storepartir du fichier .

    Avant de commencer

    Respectez la liste de vérification de configuration suivante avant l’installation. Ces tâches de configuration sont nécessaires pour une installation et une configuration fluides.
    Tâches de configuration Description

    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance.

    		 Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • S’il n’est pas déjà affecté, l’administrateur système [admin] installe l’application et affecte le rôle d’administrateur de menaces [sn_ti.admin].
    • L’administrateur des menaces [sn_ti.admin] supervise la configuration et vérifie les résultats attendus.
    Rôle requis : admin

    Procédure

    Suivez les instructions pour Téléchargement d’une application à partir du ServiceNow Store.

    Que faire ensuite

    Définir les Renseignements sur les menaces propriétés.

    Composants installés avec Renseignements sur les menaces

    Plusieurs types de composants sont installés avec l'activation du module d'extension Renseignements sur les menaces, y compris les tables et les rôles d'utilisateur.

    Remarque :
    La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.

    Les données de démonstration sont disponibles pour cette fonctionnalité.

    Rôles installés

    Titre du rôle [name] Description Contient des rôles
    Administrateur de menace

    [sn_ti.admin]

    		 Dispose d’un contrôle total sur toutes les propriétés de menace, SLA et notifications. sn_ti.write
    Lecteur de menace

    [sn_ti.read]

    		 Dispose d’un accès en lecture aux informations sur les menaces. sn.sec_cmn.int_read
    Auteur de menace

    [sn_ti.write]

    		 Dispose d’un accès en écriture aux informations sur les menaces.

    Impossible de supprimer les modes d’attaque, les indicateurs ou les observables. Seul un administrateur de menaces peut les supprimer.
    • sn_sec_cmn.int_write
    • sn_ti.read

    Analyste MITRE

    [sn_ti.mitre_analyst]

    Ce rôle permet d’accéder en lecture aux MITRE-ATT&CK modules dans Renseignements sur les menaces et SIR au module.
    • sn_ti.read
    • sn_si.read

    Tables installées

    Table Description
    Mécanisme d’attaque

    [sn_ti_attack_mechanism]

    		 Organise les modèles d’attaque de manière hiérarchique en fonction des mécanismes fréquemment utilisés lors de l’exploitation d’une vulnérabilité. Les catégories membres de cette vue représentent les différentes techniques utilisées pour attaquer un système.
    Mode/méthode d’attaque

    [sn_ti_attack_mode]

    		 Les modes et méthodes d’attaque sont des représentations du comportement des cyberadversaires. Ils caractérisent ce que fait un adversaire et la façon dont il le fait avec des niveaux de détail croissants.
    Méthode de détection

    [sn_ti_discovery_method]

    		 Expression de la façon dont un incident a été découvert.
    Flux

    [sn_ti_feed]

    		 Utilisé pour configurer le flux de menaces (RSS) dans la vue d’ensemble des menaces.
    Indicateur Mode/méthode d’attaque

    [sn_ti_m2m_indicator_attack_mode]

    		 Utilisé pour mapper les modes/méthodes d’attaque aux indicateurs.
    Indicateur de compromis

    [sn_ti_indicator]

    		 Utilisé pour transmettre des modèles observables spécifiques combinés à des informations contextuelles destinées à représenter des artefacts et/ou des comportements d’intérêt dans un contexte de cybersécurité.
    Indicateur de métadonnées de compromission

    [sn_ti_indicator_metadata]

    		 Utilisé pour remplir les enregistrements TAXII.
    Source de l'indicateur

    [sn_ti_m2m_indicator_source]

    		 Utilisé pour collecter toutes les sources rapportant l’indicateur spécifique.
    Type d'indicateur

    [sn_ti_indicator_type]

    		 Caractérise un indicateur de cybermenace composé d’un modèle identifiant certaines conditions observables, ainsi que d’informations contextuelles sur la signification des modèles, comment et quand ils sont mis en œuvre, etc.
    Type d'indicateur connexe

    [sn_ti_m2m_indicator_indicator_type]

    		 Relie les indicateurs à leurs types applicables
    Nombre d'incidents

    [sn_ti_observable]

    		 Nombre d’incidents de sécurité associés à un observable.
    Effet souhaité

    [sn_ti_intended_effect]

    		 Utilisé pour exprimer l’effet escompté d’un acteur de menace.
    Résultat de l’analyse IP

    [sn_ti_ip_result]

    		 Utilisé pour afficher les résultats d’une recherche d’adresses IP.
    Limite du taux de programme malveillant

    [sn_ti_rate_limit]

    		 Définit une limite de taux à utiliser sur une source de recherche.
    Analyse des programmes malveillants

    [sn_ti_scan]

    		 Une recherche. Contient les éléments à rechercher, la source de la recherche et un résumé des résultats de la recherche.
    Entrée de la file d’attente de l’analyse de programme malveillant

    [sn_ti_scan_q_entry]

    		 Enregistrement de recherche mis en file d’attente pour recherche ou traitement. Facilite les demandes dans les limites des taux indiquées.
    Résultat de l’analyse anti-programme malveillant

    [sn_ti_scan_result]

    		 Affiche le résultat d’une recherche.
    Scanner de programme malveillant

    [sn_ti_scanner]

    		 Définit les sources de recherche tierces à utiliser pour effectuer des recherches.
    Limite des taux de l’analyseur de programmes malveillants

    [sn_ti_scanner_rate_limit]

    		 Associe une source de recherche à une limite de taux.
    Type de programme malveillant

    [sn_ti_malware_type]

    		 Utilisé pour exprimer les types d’instances de programme malveillant.
    Observable

    [sn_ti_observable]

    		 Les observables dans STIX représentent des propriétés d’état ou des événements mesurables pertinents pour le fonctionnement des ordinateurs et des réseaux.
    Type de contexte d’observable

    [sn_ti_observable_context_type]

    		 Stocke le contexte (source, destination d’une adresse IP, etc.) d’un observable.
    Indicateur d’observable

    [sn_ti_m2m_observable_indicator]

    		 Utilisé pour associer des observables à des indicateurs.
    Source d'observable

    [sn_ti_observable_source]

    		 Utilisé pour associer les observables aux sources de menace.
    Type d'observable

    [sn_ti_observable_type]

    		 Répertorie les différents types d’observables, tels que les adresses IP.
    Catégorie de type de l'observable

    [sn_ti_observable_type_category]

    		 Stocke la première catégorisation des observables (par exemple, les adresses IP et les URL). Elle permet de déterminer plus précisément les types des observables.
    Mode/méthode d’attaque associé

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Utilisé pour associer les modes d’attaque les uns aux autres.
    Observables associés

    [sn_ti_m2m_observables]

    		 Utilisé pour relier les observables les uns aux autres.
    Type d'analyse

    [sn_ti_scan_type]

    		 Définition d’un type de recherche, avec des enregistrements initiaux pour le fichier, l’URL et l’adresse IP.
    Ticket de sécurité

    [sn_ti_case]

    		 Stocke les enregistrements des tickets de sécurité créés à l’aide de la gestion des tickets.
    IoC de ticket de sécurité

    [sn_ti_case_ioc]

    		 Utilisé pour gérer la relation entre les observables et les tickets.
    Tâche associée au ticket de sécurité

    [sn_ti_m2m_case_task]

    		 Utilisé pour gérer la relation entre les tâches (incidents de sécurité, demandes de changement, etc.) et les tickets de sécurité.
    Exclusion de relation de ticket de sécurité

    [sn_ti_case_relationship_exclusion]

    		 Fournit la définition de l’inclusion et de l’exclusion des enregistrements connexes dans les tickets de sécurité.
    Perception

    [sn_ti_sighting]

    		 Lien m2m entre l’observable et le résultat détaillé de recherche de perceptions utilisé dans l’exécution d’une demande de recherche de perceptions.
    Éléments de configuration de perception

    [sn_ti_m2m_sighting_ci]

    		 Mappe les éléments de configuration à une recherche d’observations.
    Détails de la recherche de perception

    [sn_ti_sighting_search_detail]

    		 Détails d’une recherche d’observations, par exemple, le nombre d’éléments internes et externes trouvés.
    Résultat de recherche de perception

    [sn_ti_sighting_search]

    		 L’en-tête d’une exécution de recherche d’observations.
    Types d’observables pris en charge

    [sn_ti_m2m_ind_type_obs_type]

    		 Associe les types d’indicateurs aux types d’observables valides.
    Type d’analyse pris en charge

    [sn_ti_supported_scan_type]

    		 Mappe le type de recherche à une implémentation spécifique à une source de recherche/au fournisseur. Indique qu’une source de recherche spécifique prend en charge le type.
    Mode/méthode d’attaque de tâche

    [sn_ti_m2m_task_attack_mode]

    		 Associe les modes d’attaque aux tâches.
    Indicateur de tâche

    [sn_ti_m2m_task_indicator]

    		 Associe les indicateurs aux tâches.
    Observable de tâche

    [sn_ti_m2m_task_observable]

    		 Associe les observables aux tâches.
    Perception de tâche

    [sn_ti_m2m_task_sighting]

    		 Stocke les enregistrements de tâches (incidents et tickets de sécurité) liés à un enregistrement de perception.
    Collecte TAXII

    [sn_ti_taxii_collection]

    		 Définit un flux de renseignements sur les cyber-risques qui peut être importé par un serveur TAXII.
    Profil TAXII

    [sn_ti_taxii_profile]

    		 Définit un référentiel pour le partage de renseignements sur les cyber-risques. Contient les collections TAXII.
    Type d’acteur de menace

    [sn_ti_threat_actor_type]

    		 Fournit des caractérisations des acteurs malveillants (ou des adversaires) représentant une menace de cyberattaque, y compris l’intention présumée et le comportement historiquement observé.
    Threat Intelligence Source

    [sn_ti_source]

    		 Définit une source pour l’importation de données sur les menaces.
    Motivation de l’attaque associée

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Collecte toutes les motivations d’attaque associées à un objet STIX.
    Type d’infrastructure associé

    [sn_ti_stix2_m2m_infra_type]

    		 Relie l’infrastructure à leurs types.
    Phase de kill chain associée

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 Relie les phases de kill chain aux indicateurs.
    Phase de kill chain associée

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 Relie les phases de kill chain aux objets STIX.
    Aptitude de programme malveillant associée

    [sn_ti_stix2_m2m_malware_capability]

    		 Relie les logiciels malveillants à leurs capacités.
    Type de programme malveillant associé

    [sn_ti_stix2_m2m_malware_malware_type]

    		 Relie les programmes malveillants à leurs types.
    Observable associé

    [sn_ti_stix2_m2m_malware_observable]

    		 Collecte tous les observables associés à un programme malveillant.
    Observable associé

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Collecte tous les observables associés à des données observées.
    Type de rapport associé

    [sn_ti_stix2_m2m_report_report_type]

    		 Relie les rapports de menace à leurs types.
    Rôle d’acteur de menace associé

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Associe les acteurs de menace à leurs rôles.
    Type d’acteur de menace associé

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Relie les acteurs de menace à leurs types.
    Type d’outil associé

    [sn_ti_stix2_m2m_tool_tool_type]

    		 Relie les outils à leurs types.
    Motivation de l'attaque

    [sn_ti_stix2_attack_motivation]

    		 La motivation de l’attaque façonne l’intensité et la persistance d’une attaque. Les acteurs de menace et les ensembles d’intrusion agissent généralement d’une manière qui reflète leur émotion ou leur situation sous-jacente, ce qui informe les défenseurs de la manière dont ils ont attaqué.
    Modèle d'attaque

    [sn_ti_stix2_attack_pattern]

    		 Type de TTP qui décrit les méthodes utilisées par les adversaires pour tenter de compromettre les cibles.
    Campagne

    [sn_ti_stix2_campaign]

    		 Regroupement de comportements antagonistes qui décrivent un ensemble d’activités ou d’attaques malveillantes (parfois appelées vagues) qui se produisent sur une période donnée contre un ensemble spécifique de cibles.
    Déroulement de l'action

    [sn_ti_stix2_course_of_action]

    		 Recommandation d’un producteur d’informations à un consommateur sur les mesures qu’il pourrait prendre en réponse à l’intelligence.
    Référence externe

    [sn_ti_stix2_external_reference]

    		 Pointeurs vers des informations représentées en dehors de STIX.
    Perception d’identité

    [sn_ti_stix2_m2m_sighting_identity]

    		 Collecte toutes les identités associées à une observation.
    Identité

    [sn_ti_stix2_identity]

    		 Des personnes, des organisations ou des groupes réels (par exemple, ACME, Inc.) ainsi que des catégories de personnes, d’organisations, de systèmes ou de groupes (par exemple, le secteur financier).
    Référence externe de l’indicateur

    [sn_ti_stix2_indicator_external_reference]

    		 Représente les références externes associées à des indicateurs.
    Perception d’indicateur

    [sn_ti_stix2_indicator_sighting]

    		 Représente les observations d’indicateurs.
    Type d'infrastructure

    [sn_ti_stix2_infrastructure_type]

    		 Représente les différents types d’infrastructures.
    Infrastructure

    [sn_ti_stix2_infrastructure]

    		 Type TTP qui décrit tous les systèmes, services logiciels et toutes les ressources physiques ou virtuelles associées, destinés à prendre en charge un objectif spécifique (par exemple, les serveurs C2 utilisés dans le cadre d’une attaque, l’appareil ou le serveur faisant partie de la défense, les serveurs de base de données ciblés par une attaque, etc.).
    Logiciel installé

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 Collecte tous les logiciels (types de logiciels SCO) associés à une analyse de programme malveillant.
    Ensemble d'intrusions

    [sn_ti_stix2_intrusion_set]

    		 Ensemble groupé de comportements et de ressources antagonistes ayant des propriétés communes, qui est censé être orchestré par une seule organisation.
    Phase de kill chain

    [sn_ti_stix2_kill_chain_phase]

    		 Représente les phases de kill chain associées à une kill chain.
    Chaîne de frappe

    [sn_ti_stix2_kill_chain]

    		 Représente diverses chaînes de destruction.
    Emplacement

    [sn_ti_stix2_location]

    		 Représente un emplacement géographique fourni par STIX.
    Analyse de programme malveillant

    [sn_ti_stix2_malware_analysis]

    		 Métadonnées et résultats d’une analyse statique ou dynamique particulière effectuée sur une instance ou une famille de logiciels malveillants.
    Aptitude de logiciel malveillant

    [sn_ti_stix2_malware_capability]

    		 Représente les fonctionnalités communes d’une famille ou d’une instance de programme malveillant.
    Programme malveillant Système d’exploitation

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Collecte tous les systèmes d’exploitation (types de logiciels SCO) associés aux programmes malveillants.
    Programme malveillant

    [sn_ti_stix2_malware]

    		 Type TTP qui représente un code malveillant.
    Définition de marquage

    [sn_ti_stix2_marking_definition]

    		 Représente les besoins de gestion ou de partage pour les objets STIX.
    Perception d'objets

    [sn_ti_stix2_object_sighting]

    		 Représente les observations d’objets STIX.
    Relation objet-indicateur

    [sn_ti_stix2_m2m_object_indicator]

    		 Collecte toutes les relations entre les objets STIX et les indicateurs STIX.
    Relation objet-objet

    [sn_ti_stix2_m2m_object]

    		 Collecte toutes les relations entre les objets STIX et d’autres objets STIX, à l’exclusion des indicateurs.
    Relation objet-observable

    [sn_ti_stix2_m2m_object_observable]

    		 Collecte toutes les relations entre les observables STIX et les objets STIX.
    Observation de données

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Collecte tous les objets de données observés associés à une observation.
    Données observées

    [sn_ti_stix2_observed_data]

    		 Transmet des informations sur les entités liées à la cybersécurité telles que les fichiers, les systèmes et les réseaux à l’aide des objets cyber-observables (SCO) STIX.
    Type de rapport

    [sn_ti_stix2_report_type]

    		 Représente l’objectif principal ou l’objet des rapports de menace.
    Observable signalé

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 Collecte tous les observables associés à l’analyse de programme malveillant.
    Objet STIX V2

    [sn_ti_stix2_object]

    		 Table parente commune pour l’objet STIX.
    Observation STIX V2

    [sn_ti_stix2_sighting]

    		 Table parente commune pour les tables de perception STIX.
    Rôle d'acteur de menace

    [sn_ti_stix2_threat_actor_role]

    		 Représente les rôles qui peuvent être joués par des acteurs de menace.
    Acteur de menace

    [sn_ti_stix2_threat_actor]

    		 Les auteurs de menace sont des individus, des groupes ou des organisations qui sont soupçonnés d’agir avec des intentions malveillantes.
    Regroupement des menaces

    [sn_ti_stix2_threat_grouping]

    		 Regroupe tous les objets STIX qui partagent un contexte commun.
    Note de menace

    [sn_ti_stix2_threat_note]

    		 Fournit un contexte et une analyse supplémentaire non contenus dans l’objet STIX correspondant.
    Opinion sur la menace

    [sn_ti_stix2_threat_opinion]

    		 Fournit une évaluation de l’exactitude des informations dans un objet STIX produit par une entité différente.
    Rapport de menace

    [sn_ti_stix2_threat_report]

    		 Les rapports sont des collections de renseignements sur les menaces axées sur un ou plusieurs sujets, tels qu’une description d’un auteur de menace, d’un programme malveillant ou d’une technique d’attaque, y compris le contexte et les détails connexes. Ils sont utilisés pour regrouper les renseignements sur les menaces connexes afin de les publier sous la forme d’une histoire complète sur les cybermenaces.
    Type d'outil

    [sn_ti_stix2_tool_type]

    		 Catégories d’outils pouvant être utilisés pour effectuer des attaques.
    Outil

    [sn_ti_stix2_tool]

    		 Les outils sont des logiciels légitimes utilisés par les auteurs de menace pour effectuer des attaques.
    Vulnérabilité

    [sn_ti_stix2_vulnerability]

    		 Représente une faiblesse ou un défaut dans les exigences, les conceptions ou les implémentations de la logique informatique (exemple de code) trouvée dans le logiciel et certains composants matériels (exemple de microprogramme). Ils peuvent être directement exploités pour avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité de ce système.

    Définir les Renseignements sur les menaces propriétés

    Renseignements sur les menaces Les propriétés vous permettent de contrôler le fonctionnement des différents aspects du système, y compris la définition des clés API.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration > Propriétés.
    2. Définissez les propriétés suivantes comme il convient.
      Tableau 1. Propriétés pour Threat Intelligence
      Propriété Description
      Nom de domaine pour récupérer des informations supplémentaires pour les adresses IP/URL

      sn_ti.ip_lookup.web_site

      Le nom de domaine à utiliser pour récupérer des informations supplémentaires dans votre base de données IoC. Cette propriété est utilisée par le script include ThreatAdditionalInfo pour renseigner des informations supplémentaires sur le formulaire Observables.

      Valeur par défaut : http://api.ipinfodb.com/v3/ip-country/

      Remarque :
      L’API tierce pinfodb.com est disponible sans frais supplémentaires et utilisée dans de nombreux logiciels commerciaux. Si vous le remplacez par un nom de domaine différent, vous devez également fournir la clé API dans le champ suivant.
      Clé API à utiliser pour le domaine, le cas échéant

      sn_ti.ip_lookup.api_key

      Clé API à utiliser pour récupérer des informations supplémentaires dans votre base de données IoC. Cette propriété est utilisée (avec la propriété sn_ti.ip_lookup.web_site) par le script include ThreatAdditionalInfo pour renseigner des informations supplémentaires sur le formulaire Observables.
      N’exécutez pas la recherche automatisée de menaces sur un observable lorsque l’observable est associé à un IoC ou jugé malveillant.

      sn_ti.scan_ioc_before_sending

      Remarque :
      Vous devez définir la durée dans la propriété suivante (sn_ti.scan_ioc_num_days).

      Option permettant d’arrêter l’exécution de la recherche de menace automatisée sur un observable lorsque l’observable est jugé malveillant ou associé à un IoC pendant la durée configurée (en jours). Si vous devez tout de même exécuter la recherche de menace pour l’observable, vous pouvez le faire manuellement.

      Valeur par défaut : oui
      Durée (en jours)

      sn_ti.scan_ioc_num_days

      Option permettant de définir la durée pendant laquelle la recherche de menace automatisée de l’observable est ignorée.

      Valeur par défaut (en jours) : 30
      N’exécutez pas la recherche de menace automatisée sur un observable si elle est déjà exécutée.

      sn_ti.enable_threat_lookup_bypass

      Remarque :
      Vous devez définir la durée dans la propriété suivante (sn_ti.threat_lookup_bypass_times).

      Si un résultat de recherche de menace est déjà disponible pour un observable, vous pouvez ignorer la nouvelle exécution de la recherche de menace automatisée pour le même observable jusqu’à ce que la durée configurée soit écoulée.

      Valeur par défaut : non
      Remarque :
      Si vous activez cette propriété, assurez-vous d’ajouter une valeur appropriée.
      Durée (en minutes)

      sn_ti.délai_de_contournement_de_la_recherche_de_menace

      Option permettant de définir la durée après laquelle la recherche de menace automatisée de l’observable peut être réexécutée.

      Valeur par défaut (en minutes) : 0
      Définissez une durée de validité pour les remplacements d’utilisateurs sur le résultat d’observable.

      sn_ti.enable_observable_finding_system_override

      Remarque :
      Vous devez définir la validité dans la propriété suivante (sn_ti.observable_finding_override_expiry).
      		 Option permettant de définir une durée de validité pour les remplacements d’utilisateurs sur les résultats observables. Le résultat de la recherche de menace de l’observable ne sera pas modifié par le système de base pendant cette période de validité.
      Valeur par défaut : non.
      Remarque :
      Si vous activez cette propriété, assurez-vous d’ajouter une valeur appropriée.
      Validité (en minutes)

      sn_ti.observable_finding_override_expiry

      		 Option permettant de définir la période de validité du résultat observable.

      Valeur par défaut (en minutes) : aucune
      Lorsqu’un mode/une méthode d’attaque n’a été reçu d’aucune source pendant le nombre de jours spécifié, marquez-le comme inactif

      sn_ti.attack_mode_inactivate_days

      Nombre de jours à partir de la dernière réception d’un mode/méthode d’attaque pour que l’enregistrement soit marqué comme inactif.

      Valeur par défaut : 360

      Remarque :
      La case à cocher Actif n’est pas visible sur le formulaire Mode/méthode d’attaque par défaut. Cependant, vous pouvez l’ajouter. Lorsque les modes/méthodes d’attaque sont inactifs, ils ne peuvent pas être sélectionnés sur d’autres formulaires.
      Lorsqu’un indicateur n’a été reçu d’aucune source pendant le nombre de jours spécifié, marquez-le comme inactif

      sn_ti.indicator_inactivate_days

      Nombre de jours à partir de la dernière réception d’un indicateur pour que l’enregistrement soit marqué comme inactif.

      Valeur par défaut : 180

      Remarque :
      La case à cocher Actif n’est pas visible sur le formulaire Indicateur par défaut. Cependant, vous pouvez l’ajouter. Lorsque les indicateurs sont inactifs, ils ne peuvent pas être sélectionnés sur d’autres formulaires.
      Taille maximale de la charge utile (en Mo) pour une pièce jointe STIX qui peut être analysée.

      sn_ti.stix.max_taille_charge_utile

      Spécifie la taille maximale de la charge utile pour la pièce jointe STIX que vous pouvez analyser.

      Valeur par défaut : aucune

      Valeur maximale autorisée : aucune limite.
      Délai maximal, en secondes, pendant lequel une connexion HTTP sortante attend pour récupérer les données de collecte TAXII

      sn_ti.taxii.http.max_timeout

      Spécifie la durée maximale d’attente d’une connexion HTTP sortante avant l’extraction du paquet suivant de données de collecte TAXII.

      Valeur par défaut : 300
      Nombre maximal d'objets récupérés dans un seul appel REST à partir d'un serveur TAXII (applicable uniquement pour les versions 2.0 et 2.1 de TAXII)

      sn_ti.taxii.max_taille_de_page

      Spécifie le nombre maximal d’objets récupérés dans un appel REST à partir du serveur TAXII pour une page.

      Valeur par défaut : 5 000

      Valeur maximale autorisée : 50 000
      Nombre maximal de nouvelles tentatives pour un échec d’appel REST TAXII 2.X

      sn_ti.taxii2.retry_count

      Spécifie le nombre maximal de nouvelles tentatives pour un appel REST TAXII ayant échoué.

      Valeur par défaut : 3
    3. Cliquez sur Enregistrer.

    Définir une source de menace

    Vous pouvez tenir à jour une liste des sources de Renseignements sur les menaces menace. Chaque source inclut la possibilité de définir la fréquence à laquelle une source est interrogée. Vous pouvez également exécuter une source de menace à la demande pour importer les données STIX (Structured Threat Information eXpression) nécessaires.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Pourquoi et quand exécuter cette tâche

    Renseignements sur les menaces utilise deux technologies pour importer des informations relatives aux menaces : STIX et TAXII (Trusted Automated Exchange of Indicator Information).

    STIX fournit un langage standardisé et structuré pour représenter un vaste ensemble d’informations sur les cybermenaces, y compris des indicateurs d’activité de compromission (IoC) (par exemple, les adresses IP et les hachages de fichiers), ainsi que des informations contextuelles concernant les menaces, telles que les modes/méthodes d’attaque, qui, ensemble, caractérisent plus complètement les motivations, les capacités et les activités d’un cyberadversaire. En tant que telles, les données STIX fournissent des informations précieuses sur la meilleure façon dont votre organisation peut se défendre contre les cybermenaces.

    L’échange automatisé d’informations sur les indicateurs (TAXII) est utilisé pour faciliter l’échange automatisé d’informations sur les cybermenaces. TAXII définit un ensemble de services et d’échanges de messages qui permettent le partage d’informations exploitables sur les cybermenaces au-delà des frontières de l’organisation et des produits/services pour la détection, la prévention et l’atténuation des cybermenaces. Les profils TAXII peuvent être configurés en tant que référentiels pour le partage d’informations au format STIX. Chaque profil contient une ou plusieurs collections ou flux TAXII.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Sources > Sources de menace.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Le nom de la source de menace.
      Application L'application qui contient l'enregistrement.
      Actif Cochez cette case pour activer la source de menace.
      Avancé Cochez cette case pour afficher les scripts dans les champs Script de l’instanciateur d’intégration et Processeur de rapports .
      Description Description de cette source de menace.
    4. Renseignez les champs de la section Calendrier comme il convient.
      Champ Description
      Exécuter Fréquence à laquelle vous souhaitez que l’intégration s’exécute : Quotidienne, Hebdomadaire, Périodique, etc. Comme indiqué, les champs suivants sont affichés en fonction du paramètre de ce champ.
      Jour Le jour où vous souhaitez que l’intégration s’exécute.
      • Si vous avez sélectionné Hebdomadaire dans le champ Exécuter , ce champ affiche les jours de la semaine.
      • Si vous avez sélectionné Mensuel dans le champ Exécuter , ce champ affiche les jours du mois.
      Heure L’heure à laquelle vous souhaitez que l’intégration démarre.
      Intervalle de répétition Si vous avez sélectionné Périodiquement dans le champ Exécuter , ce champ affiche le nombre de jours et d’heures avant la nouvelle exécution de l’intégration.
      En cours de démarrage Si vous avez sélectionné Périodiquement dans le champ Exécuter , ce champ affiche les dates et l’heure à utiliser comme point de départ pour les mises à jour périodiques.
      Conditionnel Sélectionnez ce champ si vous souhaitez ajouter des paramètres conditionnels.
      Condition Si vous avez coché la case Conditionnel , entrez les conditions ici.
    5. Renseignez les champs de la section Détails de la menace comme il convient.
      Champ Description
      Indicateur Indicateur à utiliser lorsque les données n’en fournissent pas un explicitement. Pour les listes de blocage, si ce champ est vide, un nouvel indicateur est créé pour chaque observable.
      Type d'indicateur Le type d’indicateur à utiliser pour les indicateurs qui sont créés et dont les données ne fournissent pas explicitement un type d’indicateur.
      Mode/méthode d’attaque Mode/méthode d’attaque à utiliser lorsque les données ne le fournissent pas explicitement.
      Type d'observable Type d’observable à utiliser pour les observables qui sont créés et dont les données ne fournissent pas explicitement un type d’observable.[SI1]
      Poids Entrez une valeur de pondération pour cette source à utiliser dans le calcul de confiance.
      Remarque :
      L’utilisation des champs Indicateur, Type d’indicateur, Mode/méthode d’attaque et Type d’observable est spécifique à l’implémentation. Le processeur par défaut, SimpleBlocklistProcessor, se comporte comme décrit dans les info-bulles. Cependant, une source de menace TAXII est entièrement basée sur les données. N’importe quel processeur de source de menace personnalisé serait en mesure d’utiliser sa propre stratégie. Ces champs sont essentiellement des éléments à exposer à l’intégration/au processeur et l’implémentation décide comment les utiliser.
    6. Renseignez les champs de la section Détails de la source comme il convient.
      Champ Description
      Point de terminaison Entrez l’URL du point de terminaison du service Web où la source de menace est accessible par Renseignements sur les menaces. Cliquez sur l’icône de verrou pour verrouiller l’URL.
      Utiliser le message REST Si vous avez besoin d’un message REST pour accéder à la source de menace, cochez cette case. Les champs Message REST et Méthode REST deviennent obligatoires.
      Message REST Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST Cliquez sur l’icône de recherche et sélectionnez la méthode REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
      Script d'intégration Le script d’intégration par défaut est SimpleRESTSecurityDataIntegration. Il exécute un appel REST simple, enregistre la réponse en tant que pièce jointe, puis renvoie la pièce jointe au processeur. Ce script répond aux besoins de la plupart des organisations. Mais si vous le souhaitez, vous pouvez cliquer sur l’icône de recherche et sélectionner un script d’intégration différent ou en définir un nouveau.
      Script de l'instanciateur d'intégration Si la case Avancé est cochée, ce champ affiche le script réel de construction du script d’intégration. Vous pouvez modifier le script au besoin. Cette option est utile pour les implémentations personnalisées. Les intégrations dans le système de base n’ont généralement pas besoin de logique de constructeur personnalisée.
      Script de processeur de rapport Le script d’intégration par défaut est SimpleBlocklistProcessor. Ce script est un processeur simple qui accepte une liste de blocage simple (simple, c’est-à-dire un document à colonne unique avec des observables tels que des URL ou des adresses IP) et crée des observables. Elle utilise les différents champs Détails de la menace pour déterminer les champs à définir lors de la création des observables.
      Script de l'instanciateur de processeur Si la case Avancé est cochée, ce champ affiche le script réel de construction du processeur. Vous pouvez modifier le script au besoin. Ce script est généralement utile pour les implémentations personnalisées. Les intégrations dans le système de base n’ont généralement pas besoin d’une logique de constructeur personnalisée.
    7. Cliquez sur Envoyer.
      Remarque :
      Pour plus d’informations sur la configuration de la pagination de la source de menace, consultez KB1213825 article.

    Créer un profil TAXII

    Vous pouvez gérer des profils TAXII pour partager des informations au format STIX. Chaque profil contient une ou plusieurs collections ou flux TAXII.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Sources > Profils TAXII.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs suivants comme il vous convient.
      ChampDescription
      Nom Le nom du profil TAXII
      Application L'application qui contient l'enregistrement.
      Utiliser les messages REST comme modèle Si vous avez besoin d’un message REST pour accéder au profil TAXII, cochez cette case.
      Version TAXII Spécifiez la version TAXII. Les versions STIX prises en charge sont 1.1, 2.0 et 2.1.
      Description Description de ce profil TAXII.
    4. Renseignez comme nécessaire les champs de la section Configuration du service Discovery .
      ChampDescription
      Point de terminaison de service de détection Le point de terminaison de détection autorise les clients à obtenir des informations sur un serveur TAXII et à obtenir une liste des racines d’API.
      Utiliser le message REST Sélectionnez cette option si vous avez besoin d’un message REST pour accéder au profil TAXII. Les champs Message REST du service Discovery et Méthode REST du service Discovery deviennent obligatoires.
      Message REST du service Discovery Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST de service Discovery Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
    5. Renseignez comme nécessaire les champs de la section Configuration du service de collecte .
      ChampDescription
      Informations sur la collection Point de terminaison de service Une collection TAXII est une interface vers un référentiel logique d’objets CTI fournis par un serveur TAXII et est utilisée par les clients TAXII pour envoyer des informations au serveur TAXII ou demander des informations au serveur TAXII.

      Un serveur TAXII peut héberger plusieurs collections par racine d’API, et les collections sont utilisées pour échanger des informations de manière demande-réponse.
      Utiliser le message REST Sélectionnez cette option si vous avez besoin d’un message REST pour accéder au profil TAXII. Les champs Message REST du service d’informations sur la collecte et Méthode REST du service d’informations sur la collecte deviennent requis.
      Service d’informations sur la collecte Message REST Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST du service d’informations de collecte Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
    6. Cliquez sur Envoyer.