Analyser, évaluer et diffuser les observables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Apprenez à analyser et à diffuser les observables liés à la menace.

    Avant de commencer

    Rôle requis :
    • Administrateur système (afficher, créer ou modifier)
    • sn_sec_tisc.admin (afficher)

    Pourquoi et quand exécuter cette tâche

    Chaque fois qu’un enrichissement de la recherche d’observations est demandé, il est renvoyé sans aucune observation.

    Procédure

    1. Accédez à la Tout > Threat Intelligence Security Center > Administration.
    2. Sélectionner Flux automatisés.
    3. Sélectionnez le lien Analyser, évaluer et diffuser sur les IoC liés à l’action de menace pour afficher les détails des règles respectives dans le concepteur de flux.
    4. Affichez l’action du Concepteur de flux pour le déclencheur suivant : 
      Sighting Created where (Sighting count is 0)
    5. L’observable a un score de menace supérieur à 80, une fiabilité supérieure à 80 et une réputation malveillante :
      1. Ajoutez l’observable à la liste de refus.
      2. Mettez fin au flux pour cet observable.
    6. Sinon, la réputation de l’observable est suspecte et le score de menace est compris entre 60 et 80 :
      1. Ajoutez une balise appelée Nouvelle menace potentielle.
      2. Ajoutez l’observable à la liste de surveillance.
      3. Créez une tâche de ticket avec l’équipe CTI pour suivre cet observable et poursuivre l’analyse.
      4. Lier l’observable au ticket pour enquête.
        Analyser, évaluer et diffuser sur les IoC liés à la menace.