Configurer la recherche de menaces

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Vous pouvez configurer la recherche de menace pour effectuer une recherche sur les observables sélectionnés. Si les observables sont d’un type reconnu par Threat Intelligence, ils sont analysés à la recherche de programmes malveillants et les résultats sont renvoyés. Vous pouvez effectuer une recherche de menace sur un ou plusieurs observables pour déterminer la malveillance d’un observable.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Remarque :
    Le module Intégrations de l’enrichissement s’affiche uniquement si au moins une des intégrations prenant en charge l’une des options est installée dans l’application.
    Le prend Centre de sécurité des renseignements sur les menaces en charge la recherche de menace uniquement pour les intégrations suivantes :
    • VirusTotal
    • Renseignements sur CrowdStrike
    Pour plus d'informations, consultez Recherche de menace.

    Pourquoi et quand exécuter cette tâche

    La section Recherche de menaces contient uniquement les intégrations avec le type d’intégration Recherche de menaces.

    Cette section affiche les cartes pour chacune des implémentations d’intégration configurées que vous pouvez activer et utiliser.

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Intégrations , puis sélectionnez la section Recherche de menace .
      Intégrations de la recherche de menace
    3. Cliquez sur l’action Configurer un nouvel enrichissement .
      Vous accédez alors à la fenêtre contextuelle qui affiche les intégrations disponibles. Vous devez choisir l’intégration que vous devez configurer.
    4. Sélectionnez une intégration dans la liste des intégrations disponibles, puis cliquez sur Sélectionner.
      Vous accédez alors à la page Créer une intégration d’enrichissement de l’intégration sélectionnée. Cette page est préremplie avec les détails de l’intégration sélectionnée par défaut. Par exemple, l’intégration de VirusTotal.

      Sélectionner une intégration dans la liste des intégrations disponibles

    5. Renseignez les champs du formulaire Créer une intégration.
      ChampDescription
      Nom Entrez un nom pour la nouvelle intégration de l’enrichissement. Par exemple, VirusTotal-1.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont préremplis par défaut. Par exemple, VirusTotal.
      Type d'intégration Type d’intégration que vous avez sélectionné, à savoir la recherche de menace. Les détails du type d’intégration sélectionné sont préremplis par défaut.
      Description Saisissez une description unique pour la nouvelle intégration de l’enrichissement.
      Formulaire Créer une intégration de l’enrichissement
    6. Dans la section Configuration de l’intégration, configurez les détails de l’intégration en fonction de vos besoins.
      La section Configuration de l’intégration comprend des détails de configuration tels que la clé API, l’ID ou le secret client API, le nom d’utilisateur, le mot de passe, etc., que vous devez remplir. Ces détails de configuration varient selon les applications.
    7. Cliquez sur l’action Enregistrer pour stocker et créer la nouvelle configuration de l’intégration de l’enrichissement.
      Les détails fournis sont validés et, par défaut, l’état de l’intégration d’enrichissement est désactivé.
    8. Cliquez sur l’action Enregistrer comme brouillon pour stocker uniquement les mises à jour apportées à la configuration d’enrichissement et ne pas la créer.
      Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez renseigner les informations restantes dans la version brouillon et la créer.
    9. Pour activer l’intégration de l’enrichissement, cliquez sur Activer.
      L’intégration de l’enrichissement est activée avec succès. Vous pouvez également activer, désactiver ou supprimer une intégration d’enrichissement particulière à l’aide du menu Actions de la vignette d’intégration requise sur la page Catalogue ou la page Intégrations d’enrichissement.