Créer un observable d’incident de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Vous pouvez créer et afficher un observable dans un incident de sécurité et prendre les mesures appropriées. Le fait d’avoir des observables disponibles dans l’incident de sécurité est évolutif et réduit le temps de réponse.

    Avant de commencer

    Rôle requis :
    • sn_ti_observable.write (écriture)
    • sn_ti_observable.read (lecture)
    • sn_ti_observable.admin (supprimer)

    Procédure

    1. Accédez à l’incident de sécurité.
    2. Choisissez un incident.
    3. Cliquez sur l’onglet de liste connexe Observables d’incident de sécurité .
    4. Cliquez sur Nouveau.
    5. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’observable.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Valeur Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Remarque :
      Si une analyse de menace porte sur une adresse IP ou un hachage, un programme malveillant renvoyé ou une autre défaillance, l’adresse IP ou la valeur de hachage est automatiquement ajoutée à la table Observable [sn_ti_observable]. En tant que tel, il peut être recherché à partir du formulaire Observables.
      Type d'observable Sélectionnez la classification de l’observable, telle qu’une adresse IP ou un hachage de fichier. Ces types d’observables sont définis dans le module Types d’observables .
      Nombre d'incidents Nombre de fois où la valeur observable a été rencontrée.
      Est une composition Ce champ s’affiche uniquement une fois l’enregistrement de l’observable enregistré.

      Si le type d’observable est défini sur autre chose que la composition de l’observable et que ce nouvel observable est une composition, cochez cette case.

      Si le type d’observable est déjà défini sur Composition de l’observable, la case est cochée et en lecture seule.

      Une composition observable est un observable qui contient des observables enfants.
      Résultat Sélectionnez l'une des options suivantes :
      • malveillant : indique que l’observable est préjudiciable à l’organisation.
      • Suspect : indique que l’observable pourrait nuire à l’organisation.
      • Nettoyer : indique que l’observable n’est pas nuisible pour l’organisation.
      • Inconnu : indique que nous n’avons pas encore déterminé le résultat de l’observable.

      • Valeur par défaut : inconnue. Pour plus d'informations, consultez Calculateurs de résultats de la recherche de menace.

      Remarque :
      Après une mise à niveau, les observables existants sont marqués malveillants.
      Opérateur Ce champ s’affiche uniquement lorsque la case Est une composition est cochée. En fonction du paramètre que vous avez défini dans ce champ, les observables et leurs enfants sont pris en compte pour décider si un indicateur associé est présent.

      Définissez ce champ sur ET si tous les observables enfants doivent être présents pour qu’un indicateur associé soit considéré comme présent.

      Affectez-lui la valeur OU si l’un des observables enfants est présent pour qu’un indicateur associé soit considéré comme présent.
      Ne doit pas être présent Ce champ s’affiche uniquement une fois l’enregistrement de l’observable enregistré.

      S’il est sélectionné, ce champ signifie que l’absence de l’observable est le problème potentiel (par exemple, une clé de registre manquante).
      Emplacement À l’aide des paramètres de deux propriétés et d’une définition de script include, vous pouvez effectuer un chargement Charger plus de données IoC dans ce champ.
      Notes Entrez toutes les notes supplémentaires sur l’observable.
    6. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis cliquez sur Enregistrer.
      Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Liste connexe Description
      Indicateurs connexes Répertorie les indicateurs qui ont été identifiés par la source de menace.
      Tâches associées Répertorie les changements associés à l’observable.
      Observables enfants Répertorie les observables associés qui ont été identifiés par la source de menace.
      Ressources correspondantes pour IP Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
      Sources des observables Répertorie les sources de cet observable, ainsi que le niveau de fiabilité de la source.
      Annotations de sécurité Répertorie les annotations de sécurité ajoutées à cet observable.
    7. Pour en revenir à l’incident de sécurité, les informations suivantes sont disponibles.
      Remarque :
      Lorsque vous ajoutez un observable à l’incident de sécurité, le système vérifie s’il existe d’autres éléments de configuration ou utilisateurs qui lui sont associés. Les onglets de liste connexe Éléments de configuration connexes et Utilisateurs associés sont mis à jour en conséquence.
      Exemple d’observables d’incidents de sécurité
      Colonne Définition
      Observable Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Type d'observable Type spécifique de l’observable.
      Contexte Sélectionné par l’utilisateur. Les choix possibles sont les suivants :
      • IP : source ou de destination
        Remarque :
        Si Renseignements sur les menaces et Palo Alto Networks - Firewall sont activés, la modification ou l’ajout d’une valeur à ce champ entraîne l’exécution du workflow Obtenir le workflow des données de journal Security Operations Palo Alto Networks - Obtenir les données de journal . Le workflow récupère les données enrichies du journal des menaces du pare-feu et les joint à l’incident de sécurité. Les informations sont également analysées et affichées dans la section Journaux de pare-feu sous l’onglet Données d’enrichissage .
      • URL : référent
        Remarque :
        Lorsque l’utilisateur clique sur un lien dans un e-mail d’hameçonnage, un référent est l’URL du dernier saut avant l’accès à l’URL du programme malveillant.
      Nombre d'incidents Nombre d’incidents dans lesquels cet observable apparaît. Cette valeur est automatiquement mise à jour lorsque l’observable est ajouté à un autre incident manuellement ou via un workflow.
      Mis à jour Données et heure de dernière mise à jour de la liste.
      Remarque :
      Si le module d’extension Renseignements sur les menaces est installé, vous pouvez également afficher l’observable dans la liste Observables du référentiel IoC.