Créer un observable pour les recherches manuelles WHOISIQ

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Les analystes d’incidents de sécurité utilisent les informations issues de l’enrichissement des observables avec l’API WHOISIQ pour en savoir plus sur les adresses e-mail, les noms et les numéros de téléphone des organisations.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tout > Référentiel IoC > Observables.
      Figure 1. Entrer des observables dans le filtre de navigation
      Entrez Observables dans le panneau de navigation.
      Le module Observables s’affiche sous le panneau de navigation.
      Figure 2. Module Observables
      Module Observables.
    2. Cliquez sur le module Observables pour afficher la liste des observables.
      Figure 3. Liste des éléments observables
      Liste des éléments observables
    3. Cliquez sur Nouveau pour créer un observable.
    4. Renseignez les champs du formulaire Observable.
      ChampDescription
      Valeur Adresse e-mail, nom de l’organisation, numéro de téléphone ou adresse postale. Par exemple, test1gmail.com
      Type d'observable Le champ est automatiquement effacé.
      Résultat Ce champ est automatiquement défini sur Inconnu.
      Figure 4. Créer un nouvel observable
      Saisissez une valeur dans le champ.
    5. Cliquez sur Envoyer.
      Vous êtes renvoyé à la liste des observables. Dans la colonne Valeur , votre nouvel observable s’affiche.
      Remarque :
      Si vous ne parvenez pas à localiser votre observable sur la partie de la liste qui est affichée, utilisez la fonctionnalité de recherche pour le trouver.
    6. Modifiez le champ Type d’observable pour modifier le type de Inconnu en Adresse e-mail pour qu’il corresponde à votre observable.
      1. Dans la colonne Type d’observable , cliquez une fois à droite du texte inconnu pour le sélectionner.
        Figure 5. Sélectionner le champ Type d’observable
        Cliquez sur le texte et dans la colonne pour sélectionner le champ.
        Le champ sélectionné est entouré en bleu.
      2. Avec le champ délimité en bleu, double-cliquez n’importe où à l’intérieur du champ en surbrillance pour ouvrir l’éditeur.
      3. Dans le champ qui s’affiche, saisissez le type d’observable (adresse e-mail) et cliquez sur la coche verte pour enregistrer la valeur.
        Figure 6. Modifier le champ Type d’observable
        Saisissez le type d’observable dans l’éditeur et cochez la case verte pour l’enregistrer.
        Dans la colonne Type d’observable de la liste, l’adresse e-mail est affichée pour votre nouvel observable.
        Figure 7. Mis à jour Champ type d’observable
        Champ de type observable mis à jour avec un nouvel observable.

    Que faire ensuite

    Si vous avez créé et modifié un observable pour la recherche, exécutez la recherche d’enrichissement d’observable à partir de l’enregistrement d’observable avec l’API WHOISIQ .