Intégrations de l’enrichissement TISC

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Le Centre de sécurité des renseignements sur les menaces système de base n’inclut aucune intégration préconfigurée. Cette section fournit des instructions pour configurer les intégrations ServiceNow tierces.

    Important :

    Assurez-vous d’avoir installé les intégrations d’applications tierces requises. Vous pouvez voir les détails des observables, de la recherche de perception et de la recherche de menaces uniquement pour les applications tierces qui sont installées.

    Toutes les configurations d’intégration

    Toutes les intégrations sont des applications distinctes qui doivent être installées. TISC prend en charge les intégrations avec des fournisseurs tiers. Toutes les intégrations installées peuvent être configurées ici.

    Cette section affiche les cartes pour chacune des implémentations d’intégration configurées que vous pouvez activer et utiliser.

    La section de chaque type d’enrichissement n’est visible que si au moins une des intégrations correspondantes pour ce type d’enrichissement est installée. Par exemple, la section Recherche de menaces n’est visible sous Intégrations d’enrichissement que si au moins une intégration de Recherche de menaces est installée.

    Les cartes d’intégration configurées peuvent être consultées en accédant à Espaces de travail > Centre de sécurité des renseignements sur les menaces > Intégrations > Intégrations de l'enrichissement > Toutes les intégrations.

    Intégrations de Threat Intelligence

    Actions sur la vue Toutes les intégrations

    La vue Toutes les intégrations vous permet d’effectuer les actions suivantes.
    Tableau 1. Actions sur la vue Toutes les intégrations
    Action Description
    Tout Utilisez ce menu déroulant pour filtrer les intégrations en fonction de leur état actuel. Vous pouvez filtrer en fonction des états suivants :
    • Tout : affiche toutes les intégrations sur la page. Il s'agit de l'option par défaut.
    • Activé : affiche toutes les intégrations qui sont à l’état Activé.
    • Désactivé : affiche toutes les intégrations qui sont à l’état désactivé.
    • Brouillon : affiche toutes les intégrations qui sont à l’état de brouillon.
    Vue carte Utilisez cette action pour afficher toutes les intégrations sous forme de cartes.
    Vue liste Utilisez cette action pour afficher toutes les intégrations sous forme de listes.
    Actualiser Utilisez cette action pour actualiser la page Toutes les intégrations.
    Trier Utilisez cette action pour trier toutes les intégrations en fonction des éléments suivants :
    • Dernière modification (récente)
    • Dernière modification (la plus ancienne)
    • Nom (A-Z)
    • Nom (de Z à A)
    Rechercher dans le catalogue Utilisez cette action pour rechercher les intégrations configurées en fonction du nom et de la description dans le catalogue.

    Configurer un nouvel enrichissement à partir de la vue Toutes les intégrations

    Vous pouvez configurer de nouveaux enrichissements à partir de la vue Toutes les intégrations ou directement à partir des sections Enrichissement des observables, Recherche de perception ou Recherche de menace respectivement. Pour configurer le nouvel enrichissement à partir de la vue Toutes les intégrations, procédez comme suit.
    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Intégrations , puis sélectionnez la section Toutes les intégrations .

      Configurer un nouvel enrichissement à partir de la vue Toutes les intégrations

    3. Cliquez sur l’action Configurer un nouvel enrichissement .

      La fenêtre contextuelle Configurer un nouvel enrichissement s’affiche avec trois types d’enrichissement : Enrichissement des observables, Recherche de perception ou Recherche de menaces. Vous devez choisir le type d’enrichissement que vous souhaitez configurer.

      Configurer le type d’enrichissement

    4. Sélectionnez un type d’enrichissement, puis cliquez sur Suivant.

      Vous accédez alors à la fenêtre contextuelle qui affiche les intégrations disponibles. Vous devez choisir l’intégration que vous souhaitez configurer.

    5. Sélectionnez une intégration dans la liste des intégrations disponibles, puis cliquez sur Sélectionner.

      Vous accédez alors à la page Créer une intégration d’enrichissement de l’intégration sélectionnée. Cette page est préremplie avec les détails de l’intégration sélectionnée par défaut. Par exemple, l’intégration WHOIS.

    6. Renseignez les champs du formulaire Créer une intégration.
      Tableau 2. Configurer le nouveau formulaire d’intégration de l’enrichissement
      Champ Description
      Nom Entrez un nom pour la nouvelle intégration de l’enrichissement. Par exemple, WHOIS1.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont préremplis par défaut. Par exemple, WHOIS.
      Type d'intégration Type d’intégration que vous avez sélectionné. Par exemple, Enrichissement des observables. Les détails du type d’intégration sélectionné sont préremplis par défaut.
      Les types d’intégration suivants sont pris en charge :
      • Enrichissement des éléments observables
      • Recherche de perception
      • Recherche de menace
      Description Saisissez une description unique pour la nouvelle intégration de l’enrichissement.
    7. Dans la section Configuration de l’intégration, configurez les détails de l’intégration en fonction de vos besoins.

      La section Configuration de l’intégration comprend des détails de configuration tels que la clé API, l’ID ou le secret client API, le nom d’utilisateur, le mot de passe, etc., que vous devez remplir. Ces détails de configuration varient selon les intégrations.

    8. Cliquez sur l’action Enregistrer pour stocker et créer la configuration de l’intégration de l’enrichissement.

      Les détails fournis sont validés et, par défaut, l’état de l’intégration d’enrichissement est désactivé.

    9. (Facultatif) Cliquez sur l’action Enregistrer comme brouillon pour stocker uniquement les configurations d’intégration comme brouillon. Les utilisateurs ne peuvent pas activer une intégration lorsqu’elle est enregistrée dans le brouillon

      Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez renseigner les informations restantes dans la version brouillon et la créer.

    10. Pour activer l’intégration de l’enrichissement, cliquez sur Activer.

      L’intégration de l’enrichissement est activée avec succès.

    11. Vous pouvez également activer, désactiver ou supprimer une intégration d’enrichissement particulière à l’aide du menu Actions de la vignette d’intégration requise sur la page Catalogue ou la page Intégrations d’enrichissement.