Effectuer des recherches sur les observables

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Vous pouvez effectuer des recherches de connaissance des menaces sur un ou plusieurs observables pour déterminer s’ils sont associés à des menaces de sécurité connues. Les implémentations d’analyse qui s’exécutent dépendent de celles que vous avez activées.

    Avant de commencer

    Avant de pouvoir effectuer des recherches, vous devez activer le module d’extension Renseignements sur les menaces. Vous devez également installer le module d’extension pour une ou plusieurs des implémentations d’analyse :

    Rôle requis : sn_ti.write

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Référentiel IoC > Observables.
    2. Effectuez l’une des actions suivantes :
      • Pour effectuer une recherche sur plusieurs observables, sélectionnez les observables, cliquez sur Actions sur les lignes sélectionnées, puis sélectionnez Exécuter une recherche de menace.
      • Pour effectuer une recherche sur un seul observable, ouvrez l’enregistrement de l’observable, puis cliquez sur le lien connexe Exécuter une recherche de menace .
      Exécuter la zone de sélection de la recherche de menace
    3. Sélectionnez les implémentations de recherche de menaces que vous souhaitez utiliser ou sélectionnez Tout pour effectuer des recherches à l’aide de toutes les implémentations actives, puis cliquez sur Soumettre.
      Un message indique que les recherches de menaces ont commencé. L’exécute Security Operations Integration - Flux de recherche de menaces et exécute également les workflows d’implémentation pour les implémentations de recherche de menaces que vous avez sélectionnées. Les recherches sont effectuées et les résultats sont générés.
    4. Une fois les recherches terminées, vous pouvez cliquer sur l’onglet Résultats de la recherche de menaces pour afficher les résultats.
      Résultats de la recherche de menace
      Résultat de la recherche de menaces récentes : vous pouvez également voir les résultats de recherche de menaces les plus récents ou les plus récents de chaque fournisseur d’intégration lorsque vous cliquez sur l’onglet Résultat de la recherche de menaces récentes .
      Remarque :
      L’onglet Résultat de la recherche de menaces récentes ne fait pas partie du système de base.
      Pour activer cet onglet, procédez comme suit :
      1. Cliquez avec le bouton droit sur l’en-tête du formulaire.
      2. Accédez à la Configurer > Listes connexes.
      3. Localisez les résultats de la recherche de menaces récentes dans la liste Disponible et déplacez-les vers la liste Sélectionné.
      4. Cliquez sur Enregistrer.
        Vous pouvez désormais afficher les résultats de la recherche de menaces récentes auprès de chaque fournisseur d’intégration dans l’onglet Résultat de la recherche de menaces récentes .
        Résultat de la recherche de menace récente
    5. Pour afficher des détails supplémentaires, y compris les résultats bruts pour une recherche spécifique, cliquez sur la valeur Résultat.
      Remarque :
      Lorsque les implémentations VirusTotal ou OPSWAT Metadefender sont utilisées, les détails sont consolidés, comme indiqué ci-dessous.
      Détails des résultats de la recherche de menace