Enrichissement IOC automatisé

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Découvrez comment automatiser l’enrichissement des IOC à l’aide de flux lorsqu’ils répondent à un certain critère.

    Avant de commencer

    Rôle requis :
    • Administrateur système (afficher, créer ou modifier)
    • sn_sec_tisc.admin (afficher)

    Pourquoi et quand exécuter cette tâche

    Automatiser l’enrichissement des déclencheurs d’IOC uniquement lorsque :
    • le type de l’observable est un nom de domaine, une adresse IPv4 ou une adresse IPv6.
    • L’observable est dans un état Traité.
    • l’observable n’a pas les balises enrichies ou Ignorer l’enrichissement.

    Procédure

    1. Accédez à la Tout > Threat Intelligence Security Center > Administration.
    2. Sélectionner Flux automatisés.
    3. Sélectionnez le lien de l’action d’enrichissement IOC automatisé pour afficher les détails de la règle respective dans le concepteur de flux.
    4. Affichez l’action du Concepteur de flux pour le déclencheur suivant : 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. Si l’observable est une adresse IPv4 ou IPv6 et qu’il se trouve dans une plage CIDR autorisée, alors :
      1. Ajoutez l’observable à la liste d’autorisation.
      2. Mettez à jour les balises des observables pour ignorer l’enrichissement.
      3. Mettez fin au flux pour cet observable.
    6. Sinon, enrichissez les données observables avec les options disponibles :
      1. Effectuer une recherche de menace et une recherche de perception pour recueillir des informations supplémentaires sur l’observable.
      2. Mettez à jour l’observable avec des données enrichies.
      3. Ajoutez une balise Enrichi pour indiquer que le CIO a été traité.
    7. De plus, si la réputation des observables est irréprochable, alors :
      1. Marquez l’observable comme faux positif et inactif.
    8. Sinon, si la réputation de l’observable est inconnue
      1. Ajouter une balise Non menace potentielle et Enrichi pour indiquer qu’il ne s’agit pas d’une menace.
      Enrichissement IOC automatisé dans TISC.