Vérifier les résultats attendus pour PhishTank

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Les observables sont générés automatiquement par un incident de sécurité et analysés par l’application. Les résultats de la recherche sont affichés dans l’onglet Résultats de la recherche de menaces, au bas de l’enregistrement d’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Ouvrez le formulaire d’incident de sécurité que vous utilisez et vérifiez que la recherche s’est correctement exécutée.
      État de la recherche sur les notes de travail.
      Une fois l’application configurée, le workflow se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est ensuite affiché dans les notes de travail de l’enregistrement d’incident de sécurité.
    2. Examinez les notes de travail pour plus d’informations et pour savoir comment procéder si vous ne pouvez pas vérifier que la recherche s’est exécutée correctement.
    3. Accédez au bas de l’incident de sécurité et cliquez sur le lien connexe Afficher toutes les listes connexes .
      Remarque :
      Les chiffres des étapes suivantes sont affichés avec le paramètre Formulaires à onglets actif dans les paramètres système. Si les formulaires à onglets ne sont pas affichés, cliquez sur l’icône d’engrenage Paramètres dans le coin supérieur droit de la bannière. Dans la boîte de dialogue Paramètres du système qui s’affiche, cliquez sur Formulaires et vérifiez que les options Onglets et Avec le formulaire sont sélectionnées.
      Résultats de la recherche de menaces.
      L’onglet Résultats de la recherche de menaces, au bas de l’enregistrement d’incident de sécurité, affiche les résultats de la recherche.

      La colonne Résultat affiche Inconnu pour les enregistrements dont la malveillance n’a pas été déterminée. Pour les résultats correspondant à malveillant, le caractère malveillant s’affiche dans la colonne Résultat .

    4. Dans la colonne Observable , cliquez sur un observable pour ouvrir un enregistrement et afficher plus d’informations.
      Recherche observable et balise de sécurité.
      Dans l’enregistrement observable, pour les recherches correspondant à malveillant, Malveillant s’affiche dans le champ Résultat . L’observable est balisé avec la Renseignements sur les menaces source qui l’a trouvé malveillant, dans ce cas l’application PhishTank .
    5. Pour afficher les données brutes, revenez à l’incident de sécurité et cliquez sur l’icône d’information bleue en regard d’un observable.
      Icône d’informations sur l’enregistrement de sécurité.
    6. Dans la fenêtre qui s’affiche, cliquez sur Ouvrir l’enregistrement.
      Données brutes observables.
      Le lien créé par l’API et le champ Résultat affiché avec les résultats.
    Si vous ne voyez pas de résultats sous l’onglet Résultats de la recherche de menace , vérifiez que l’observable est d’un type pris en charge pour la recherche par l’intégration.