Analyser et évaluer les IoC de menace

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Apprenez à analyser un IOC qui constitue une menace et à en informer l’équipe responsable des incidents de sécurité.

    Avant de commencer

    Rôle requis :
    • Administrateur système (afficher, créer ou modifier)
    • sn_sec_tisc.admin (afficher)

    Pourquoi et quand exécuter cette tâche

    Chaque fois qu’un enrichissement de la recherche de perception est demandé :
    • si l’observable est vu (nombre > 0) et
    • La réputation de l’observable est malveillante et
    • Le score de menace de l’observable est > 80 et
    • Fiabilité des observables > 80

    Procédure

    1. Accédez à la Tout > Threat Intelligence Security Center > Administration.
    2. Sélectionner Flux automatisés.
    3. Sélectionnez le lien d’action Analyser, évaluer les IoC liés à la menace et créer un incident pour afficher les détails des règles respectives dans le concepteur de flux.
    4. Affichez l’action du Concepteur de flux pour le déclencheur suivant : 
      Sighting Created where (Sighting count greater than 0, and Observable. Reputation is Malicious, and Observable. Threat Score greater than 80, and Observable. Confidence greater than 80)
    5. Si la perception est créée où (nombre de perception supérieur à 0 et observable. La réputation est malveillante et observable. Score de menace supérieur à 80 et observable. Fiabilité supérieure à 80), alors :
      1. Créez un incident de sécurité et ajoutez l’observable à l’incident.
      2. Ajouter des observables à l’incident de sécurité V1.
      3. Envoyer une communication par e-mail.
        Analysez, évaluez les IoC liés à la menace et créez un incident.