Analyser, évaluer et diffuser les observables

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Apprenez à analyser et à diffuser des observables liés à une menace.

    Avant de commencer

    Rôle requis :
    • Administrateur système (afficher, créer ou modifier)
    • sn_sec_tisc.admin (vue)

    Pourquoi et quand exécuter cette tâche

    Chaque fois qu’un enrichissement de recherche d’observation est demandé, il revient sans aucune observation.

    Procédure

    1. Accédez à la Tout > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Sélectionner Flux automatisés.
    3. Sélectionnez Analyser, évaluer et diffuser sur le lien IoC liés à l’action de menace pour afficher les détails des règles respectives dans le concepteur de flux.
    4. Affichez l’action du Concepteur de flux pour le déclencheur suivant : 
      Sighting Created where (Sighting count is 0)
    5. L’observable a un score de menace supérieur à 80, un score de confiance supérieur à 80 et une réputation malveillante :
      1. Ajoutez l’observable à la liste de refus.
      2. Arrêtez le flux pour cet observable.
    6. Sinon, la réputation de l’observable est suspecte et le score de menace est compris entre 60 et 80 :
      1. Ajoutez une balise appelée Nouvelle menace potentielle.
      2. Ajoutez l’observable à la liste de surveillance.
      3. Créez une tâche de ticket avec l’équipe CTI pour suivre cet observable et effectuer une analyse plus approfondie.
      4. Lier l’observable au ticket pour enquête.
        Analyser, évaluer et diffuser les IoC liés à la menace.