Analyser et évaluer les menaces IoC

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Apprenez à analyser les menaces d’un CIO et à notifier l’équipe des incidents de sécurité.

    Avant de commencer

    Rôle requis :
    • Administrateur système (afficher, créer ou modifier)
    • sn_sec_tisc.admin (vue)

    Pourquoi et quand exécuter cette tâche

    Chaque fois qu’un enrichissement de recherche d’observation est demandé :
    • si l’observable est vu (nombre > 0) et
    • La réputation de l’observable est malveillante et
    • Le score de menace de l’observable est > 80 et
    • Fiabilité observable > 80

    Procédure

    1. Accédez à la Tout > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Sélectionner Flux automatisés.
    3. Sélectionnez le lien d’action Analyser, évaluer les IoC liés à la menace et créer un incident pour afficher les détails des règles respectives dans le concepteur de flux.
    4. Affichez l’action du Concepteur de flux pour le déclencheur suivant : 
      Sighting Created where (Sighting count greater than 0, and Observable. Reputation is Malicious, and Observable. Threat Score greater than 80, and Observable. Confidence greater than 80)
    5. Si la perception a été créée où (nombre de perception supérieur à 0 et observable. La réputation est malveillante et observable. Score de menace supérieur à 80 et observable. Confiance supérieure à 80), alors :
      1. Créez un incident de sécurité et ajoutez l’observable à l’incident.
      2. Ajouter des observables à l’incident de sécurité V1.
      3. Envoyer une communication par e-mail.
        Analysez, évaluez les IoC liés à la menace et créez un incident.