Définir un indicateur

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Définissez un indicateur.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de Renseignements sur les menaces > Indicateurs.
    2. Sélectionnez Indicateur.
    3. Cliquez sur Nouveau.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objets pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    4. Renseignez les champs du formulaire.
      Tableau 1. Section des détails
      Champ Description
      ID ID unique de l’indicateur.
      Description Description de l’indicateur.
      Nom Nom de l'indicateur.
      Modèle Le modèle de détection de cet indicateur peut être exprimé sous la forme d’un modèle STIX.
      Type de modèle Langue du modèle utilisée dans cet indicateur.
      Version du modèle

      Version du langage de modèle utilisée pour les données dans la propriété de modèle qui doit correspondre au type de données de modèle incluses dans la propriété de modèle.
      Date de début de validité Heure à partir de laquelle cet indicateur est considéré comme un indicateur valide des comportements auxquels il est associé ou qu’il représente.
      Fin de validité Heure après laquelle cet indicateur ne doit plus être considéré comme un indicateur valide des comportements auxquels il est lié ou qu’il représente.
      Classification IOC Classification IOC des indicateurs.
      Types des indicateurs Indique les différentes catégories de l’indicateur.
      Statut Indique l’état des indicateurs.
      Plateformes Définit les plateformes pour lesquelles cet indicateur s’applique.
      TLP Valeur unique qui indique le paramètre de sensibilité des données par TLP.
      Phases d'attaque Représente la phase d’attaque dans une chaîne de frappe telle que LM, MITRE ATT&CK.
      Fiabilité Entrez le score de confiance pour cet enregistrement d’indicateur.

      La propriété de confiance identifie la confiance que le créateur a dans l’exactitude de ses données. La valeur de confiance DOIT être un nombre compris entre 0 et 100.
      Niveau de menace Indique le niveau de menace de l’enregistrement de l’indicateur.
      Délai d'expiration Spécifie le délai d’expiration de l’enregistrement de l’indicateur.
      Gravité de la menace Indique la gravité de la menace de l’enregistrement de l’indicateur.
      Catégories d'utilisation Catégories auxquelles appartient l’observable, telles que botnet ou hameçonnage.
      Premier observé Heure à laquelle cet enregistrement d’indicateur a été vu pour la première fois en train d’effectuer des activités malveillantes.
      Dernier observé Heure à laquelle cet enregistrement d’indicateur a été vu pour la dernière fois en train d’effectuer des activités malveillantes.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement est créé.
      Révoqué Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.
      Tableau 2. Aperçus
      Champ Description
      Notes Ajoutez des notes supplémentaires pour un indicateur.
      Tableau 3. Informations supplémentaires
      Champ Description
      Contexte supplémentaire Ajoutez tout contexte supplémentaire pour cet indicateur.
      Version de spéc. Version de la spécification STIX utilisée pour représenter l’indicateur.

      La valeur de cette propriété doit être de 2,1 pour les objets STIX définis conformément à cette spécification.
      Langue Cette propriété identifie la langue du contenu textuel dans cet objet.
      Créées Spécifie l’heure à laquelle l’indicateur est créé dans le système.
      Mise à jour Spécifie l’heure à laquelle l’indicateur est mis à jour dans le système.
      Extensions Indique les extensions de l’indicateur.
      État du traitement Représente l’état de traitement de cet indicateur.
    5. Cliquez sur Enregistrer.
      Une fois que vous avez enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    6. Cliquez sur Continuer.
      Important :
      Après avoir créé un nouvel enregistrement d’observable, la case à cocher Empêcher les mises à jour système s’affiche.

      Cochez cette case pour empêcher toute mise à jour du système après la création des enregistrements de l’observable, de l’indicateur ou des objets STIX.

      Tableau 4. Mots clés&Taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées à un indicateur.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez la taxonomie associée à un indicateur.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées à un indicateur.
      Tableau 5. Enregistrements sources
      Champ Description
      Les détails des enregistrements sources d’un indicateur sont affichés, le cas échéant.

    Que faire ensuite

    Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés aux indicateurs.
    Tableau 6. Enregistrements connexes
    Liste connexe Description
    Références d’indicateurs Liste des références externes qui décrivent cet indicateur.
    Observables Répertorie les enregistrements observables associés à cet indicateur.
    Indicateurs Répertorie les indicateurs associés à cet indicateur.
    Remarque :
    Cette section contient également les relations potentielles entre deux indicateurs. Pour plus d’informations, consultez Confirmer les relations potentielles indicateur-indicateuret consultez Définir les relations indicateur-indicateur les relations confirmées entre les deux observables.
    Éléments de configuration Répertorie les éléments de configuration associés à cet indicateur.
    Schémas d'attaque Répertorie la source Schémas d’attaque qui décrit les méthodes par lesquelles les adversaires tentent de compromettre les cibles liées à cet indicateur.
    Campagnes Répertorie la source de campagnes qui décrit un ensemble d’activités malveillantes ou d’attaques qui se produisent au fil du temps contre un ensemble spécifique de cibles liées à cet indicateur.
    Détections et atténuations Répertorie les détections et les atténuations associées à cet indicateur.
    Identités Répertorie les identités associées à cet indicateur.
    Infrastructure Répertorie la source d’infrastructure qui décrit tous les systèmes, services logiciels et toutes les ressources physiques ou virtuelles associées destinées à soutenir un objectif d’une attaque et qui sont liées à cet indicateur.
    Ensembles d'intrusion Répertorie un ensemble de comportements et de ressources antagonistes ayant des propriétés communes qui sont liées à cet indicateur.
    Emplacements Répertorie les emplacements géographiques associés à l’objet.
    Programme malveillant Répertorie les enregistrements sources de programmes malveillants associés à cet indicateur.
    Définitions de marquage Répertorie les définitions de marquage associées à cet objet.
    Perceptions Répertorie les enregistrements sources de perception associés à cet objet.
    Acteurs de menace Répertorie les changements associés à l’observable.
    Événements de menace Répertorie les observables associés qui ont été identifiés par la source de menace.
    Outil Répertorie l’outil associé à cet objet.
    Vulnérabilités Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes à Threat Intelligence.
    2. En outre, dans la section Enregistrements connexes , vous pouvez confirmer les relations entre deux observables à l’aide de la section Relations éventuelles disponible dans la vue de formulaire Indicateurs . Pour plus d’informations sur les rubriques . Confirmer les relations éventuelles à partir d’enregistrements connexes
    3. Vous pouvez ajouter des indicateurs aux tickets. Pour plus d'informations, consultez Ajouter au ticket.