(Facultatif) Joindre manuellement un observable pour PhishTank

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

1 minute de lecture

Vous pouvez joindre manuellement des observables à un incident de sécurité. Vous attachez manuellement des observables lorsque vous souhaitez effectuer des recherches de menaces sur des observables qui ne sont pas joints à un incident de sécurité lors du déclenchement de l’événement initial. En outre, vous pouvez effectuer cette tâche lorsque vous souhaitez obtenir plus d’informations sur un observable connexe.

Avant de commencer

Rôle requis : sn_si.analyst

Procédure

Accédez à votre incident de sécurité ouvert.
Dans l’enregistrement d’incident de sécurité ouvert, cliquez sur le lien Afficher l’IoCdans des liens connexes pour afficher l’onglet Observables .
Cliquez sur Nouveau.
Le formulaire Observable s’affiche.
Dans le champ Valeur , entrez une URL.
Cliquez sur l’icône de recherche puis, dans la boîte de dialogue Catégories de type d’observable , cliquez sur URL dans la liste pour remplir le champ.
Cliquez sur Envoyer.
Le flux se lance et recherche le nouvel observable. L’état d’exécution et d’achèvement est affiché dans la section des notes de travail de l’enregistrement d’incident de sécurité.
Accédez à votre incident de sécurité et passez en revue les notes de travail.
Cliquez sur le lien connexe Afficher toutes les listes connexes en bas de l’incident de sécurité.
Cliquez sur l’onglet Résultats de la recherche de menace pour afficher les résultats.
Dans la colonne Observable , cliquez sur l’icône d’information bleue en regard d’un observable donné pour obtenir plus d’informations et des données brutes.
Dans la boîte de dialogue qui s’affiche, cliquez sur Ouvrir l’enregistrement.

Passez en revue les notes de travail pour plus d’informations et sur la procédure à suivre si vous ne pouvez pas vérifier que la recherche s’est correctement exécutée.