(Facultatif) Joindre manuellement un observable pour Shodan

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Vous pouvez joindre manuellement des observables à un incident de sécurité. Vous joignez manuellement les observables lorsque vous souhaitez effectuer des recherches de menaces sur des observables qui ne sont pas joints à un incident de sécurité lors du déclencheur d’événement initial. Vous pouvez également effectuer cette tâche lorsque vous souhaitez obtenir plus d’informations sur un observable connexe.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Incidents > Afficher tous les incidents et ouvrez un incident de sécurité auquel vous souhaitez joindre l’observable.
    2. Au bas de l’enregistrement, cliquez sur le lien Afficher l’IoCdans Liens connexes.
      Onglet Observables.
    3. Dans l’onglet Observables , cliquez sur Nouveau.
      Le formulaire Observable s’affiche.
    4. Dans le champ Valeur , saisissez un observable (adresse IP, hachage de fichier ou URL).
    5. Cliquez sur l’icône de recherche et, à partir de la boîte de dialogue Catégories de types d’observables , cliquez sur le type d’observable souhaité dans la liste pour remplir le champ.
      Liste Catégories de types d’observables.
    6. Cliquez sur Envoyer.
      Le workflow se lance et vérifie le nouvel observable. L’état d’exécution et d’achèvement est affiché dans la section Notes de travail de l’enregistrement d’incident de sécurité.
    7. Accédez à votre incident de sécurité et examinez les notes de travail.
      Rechercher l’état dans les notes de travail.
    8. Au bas de l’enregistrement, cliquez sur le lien connexe Afficher toutes les listes connexes .
    9. Cliquez sur les onglets Résultats de l’enrichissement des observables ou Bannières réseau pour obtenir des résultats, puis cliquez sur l’icône d’information bleue en regard d’un observable pour obtenir plus d’informations sur un élément spécifique.
      Rechercher les résultats sur le formulaire de sécurité.
    10. Dans la boîte de dialogue qui s’affiche, cliquez sur Ouvrir l’enregistrement pour afficher les données brutes et plus de détails.
    11. Facultatif : Cliquez sur l’icône bleue des paramètres près de l’icône de recherche pour personnaliser la sortie et l’ordre des colonnes.
    12. Dans Personnaliser les colonnes de la liste, sélectionnez les paramètres disponibles, déplacez-les dans la colonne Sélectionné , puis cliquez sur OK.
    Consultez les notes de travail pour en savoir plus et connaître la procédure à suivre si vous ne pouvez pas vérifier que la recherche s’est correctement exécutée.