Définir l’analyse de programme malveillant

Rversion finale: Xanadu

Mis à jour 1 août 2024

5 minutes de lecture

Définissez une analyse de programme malveillant qui capture les métadonnées et les résultats d’une analyse statique ou dynamique particulière effectuée sur une instance ou une famille de programmes malveillants.

Avant de commencer

Rôle requis : sn_sec_tisc.analyst

Procédure

Accédez à la Espaces de travail > Threat Intelligence Security Center.
Cliquez sur l’icône Bibliothèque Intel de menaces dans l’espace de travail.
Accédez à l’objet Analyse de programme malveillant .
Cliquez sur Nouveau.

Remarque :
Chaque fois que vous créez de nouveaux enregistrements d’objet pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.

Renseignez les champs du formulaire.

Tableau 1. Vue des détails de l’analyse de programme malveillant
Champ	Description
ID	ID unique permettant d’identifier l’analyse de programme malveillant.
Produit	Nom du moteur d’analyse ou du produit qui a été utilisé. Les noms de produits DEVRAIENT être tous en minuscules avec des mots séparés par un tiret « -« . Pour les cas où le nom d’un produit ne peut pas être spécifié, une valeur anonymisée doit être utilisée.
Version	Version du produit d’analyse qui a été utilisée pour effectuer l’analyse.
Ordinateur virtuel hôte	Description de l’environnement d’ordinateur virtuel utilisé pour héberger le système d’exploitation invité, le cas échéant, qui a été utilisé pour l’analyse dynamique de l’instance ou de la famille de programmes malveillants. Si cette valeur n’est pas incluse en conjonction avec la propriété operating_system_ref, cela signifie que l’analyse dynamique peut avoir été effectuée sur du système d’exploitation nu (c’est-à-dire sans virtualisation) ou que les informations ont été rédigées. La valeur de cette propriété DOIT être l’identificateur d’un objet logiciel SCO.
Système d'exploitation	Système d’exploitation utilisé pour l’analyse dynamique de l’instance ou de la famille de logiciels malveillants. Cela s’applique aussi bien aux systèmes d’exploitation virtualisés qu’à ceux fonctionnant sur du bare metal. La valeur de cette propriété DOIT être l’identificateur d’un objet logiciel SCO.
Version de configuration	Noms alternatifs utilisés pour identifier ce programme malveillant ou famille de programmes malveillants.
Modules	Les modules d’analyse spécifiques qui ont été utilisés et configurés dans le produit au cours de cette exécution d’analyse.
Version du moteur d'analyse	Version du moteur ou du produit d’analyse (y compris les moteurs antivirus) qui a été utilisée pour effectuer l’analyse.
Version de la définition de l'analyse	Version des définitions d’analyse utilisée par l’outil d’analyse, y compris les outils audiovisuels.
Analyse démarrée	La date et l’heure auxquelles l’analyse de programme malveillant a été lancée.
Analyse terminée	Date et heure auxquelles l’analyse de programme malveillant a été terminée.
Résultat	Le résultat de la classification tel que déterminé par le processus d’analyse du scanner ou de l’outil.
Nom des résultats	Le résultat de classification ou le nom affecté à l’instance de programme malveillant par l’outil de scanner.
Soumis	Date et heure auxquelles le programme malveillant a été soumis pour la première fois à l’analyse ou à l’analyse. Cette valeur reste constante tant que la date de numérisation peut changer. Par exemple, lorsqu’un logiciel malveillant a été soumis à un outil d’analyse de virus.
Observable analysé	Sélectionnez l’observable qui a été analysé.
TLP	TLP est utilisé pour s’assurer que les informations sensibles sont partagées avec le public approprié. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité.
Fiabilité	Entrez la confiance pour cette analyse de programme malveillant.
Source	Spécifie la source de menace à partir de laquelle cet enregistrement d’objet est créé.
Révoqué	Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.

Tableau 2. Aperçus
Champ	Description
Notes	Ajoutez des notes supplémentaires pour l’enregistrement de famille de programmes malveillants.

Tableau 3. Informations supplémentaires
Champ	Description
Contexte supplémentaire	Ajoutez tout contexte supplémentaire pour cet enregistrement de programme malveillant.
Version de spéc.	Version de la spécification STIX utilisée pour représenter cet objet. La valeur de cette propriété doit être de 2,1 pour les objets STIX définis conformément à cette spécification.
Langue	Cette propriété identifie la langue du contenu textuel dans cet objet.
Heure de création dans la source	Spécifie l’heure de création de l’objet dans la source.
Extensions	Indique les extensions du schéma d’attaque.
Heure de modification dans la source	Spécifie l’heure à laquelle l’objet est modifié dans la source.
État du traitement	Représente l’état de traitement de cet objet, programme malveillant.
Créé	Spécifie la date et l’heure de création de l’objet dans la source.
Mis à jour	Spécifie la date et l’heure auxquelles l’objet a été mis à jour dans la source.
Créé par réf.	Cette propriété spécifie que l’objet d’identité qui décrit l’entité a créé cet objet.

Cliquez sur Enregistrer.
Une fois l’enregistrement enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.

Cliquez sur Continuer.

Important :

Après la création d’un enregistrement d’observable, la case à cocher Empêcher les mises à jour système s’affiche.

Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observable, d’indicateur ou d’objets STIX.

Tableau 4. Balises et taxonomies
Champ	Description
Balises
Sélectionner des balises	Sélectionnez les balises associées au programme malveillant.
Ajouter des balises	Ajouter de nouvelles balises.
Taxonomies
Sélectionner taxonomie	Sélectionnez une taxonomie associée au programme malveillant.
Ajouter valeurs de taxonomie	Ajoutez les valeurs de taxonomie associées au programme malveillant.

Que faire ensuite

Cliquez sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés au programme malveillant.

Tableau 5. Enregistrements relatifs
Champ	Description
Références externes	Répertorie les références externes qui se réfèrent à des informations non STIX. Cette propriété est utilisée pour fournir un ou plusieurs identificateurs d’objets externes.
Programme malveillant	Répertorie les enregistrements de programmes malveillants associés à cet objet.
Définitions marketing	Répertorie les définitions marketing associées à cet objet.
Observables	Répertorie les observables associés à cet objet.
Perceptions	Répertorie les perceptions associées à cet objet.

Remarque :

Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes aux renseignements sur la menace.
Les différents SDO de la bibliothèque TI contiennent également les relations potentielles. Pour établir une relation entre deux objets quelconques, utilisez le lien Relations potentielles de la bibliothèque Intel de menaces pour confirmer les relations entre les objets. Pour plus d'informations, consultez Confirmer les relations éventuelles objet-objet.
Utilisez également la section Enregistrements connexes de la vue du formulaire Objets pour confirmer les relations entre deux objets à l’aide de la section Relations potentielles disponible dans la vue de formulaire. Pour plus d’informations, Confirmer les relations éventuelles à partir des enregistrements connexesconsultez .
Vous pouvez ajouter des objets aux tickets. Pour plus d'informations, consultez Ajouter au ticket.