Créer un observable pour les recherches manuelles WHOISIQ

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Les analystes d’incidents de sécurité utilisent les informations issues de l’enrichissement des observables avec l’API WHOISIQ pour en savoir plus sur les adresses e-mail, les noms et les numéros de téléphone des organisations.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tout > Référentiel IoC > Observables.
      Figure 1. Entrer les observables dans le filtre de navigation
      Saisissez des observables dans le panneau de navigation.
      Le module Observables s’affiche sous le panneau de navigation.
      Figure 2. Module Observables
      Module Observables.
    2. Cliquez sur le module Observables pour afficher la liste des observables.
      Figure 3. Liste des observables
      Liste des observables
    3. Cliquez sur Nouveau pour créer un nouvel observable.
    4. Dans le formulaire Observable, renseignez les champs.
      ChampDescription
      Valeur Adresse e-mail, nom de l’organisation, numéro de téléphone ou adresse postale. Par exemple, test1gmail.com
      Type d'observable Le champ est automatiquement effacé.
      Résultat Le champ est automatiquement défini sur Inconnu.
      Figure 4. Créer un nouvel observable
      Saisissez une valeur dans le champ.
    5. Cliquez sur Envoyer.
      Vous êtes renvoyé à la liste Observables. Dans la colonne Valeur , votre nouvel observable s’affiche.
      Remarque :
      Si vous ne parvenez pas à localiser votre observable sur la partie de la liste qui s’affiche, utilisez la fonctionnalité de recherche pour le trouver.
    6. Modifiez le champ Type d’observable pour changer le type d’Inconnu en Adresse e-mail pour correspondre à votre observable.
      1. Dans la colonne Type d’observable , cliquez un seul fois à droite du texte inconnu pour le sélectionner.
        Figure 5. Sélectionner le champ Type d’observable
        Cliquez sur le texte et dans la colonne pour sélectionner le champ.
        Le champ sélectionné est entouré en bleu.
      2. Avec le champ délimité en bleu, double-cliquez n’importe où à l’intérieur du champ en surbrillance pour ouvrir l’éditeur.
      3. Dans le champ qui s’affiche, saisissez le type d’observable (adresse e-mail) et cliquez sur la coche verte pour enregistrer la valeur.
        Figure 6. Modifier le champ Type d’observable
        Saisissez le type d’observable dans l’éditeur et cliquez sur la coche verte pour l’enregistrer.
        Dans la colonne Type d’observable de la liste, l’adresse e-mail s’affiche pour votre nouvel observable.
        Figure 7. Mis à jour Champ de type d’observable
        Champ de type observable mis à jour avec le nouvel observable.

    Que faire ensuite

    Si vous avez créé et modifié un observable pour la recherche, exécutez la recherche d’enrichissement de l’observable à partir de l’enregistrement observable avec l’API WHOISIQ .