Gestion du calculateur de réputation de la recherche de menaces
Vous pouvez utiliser le calculateur de résultats de recherche de menaces pour calculer les résultats observables en fonction des réponses reçues du fournisseur de recherche de menaces.
Vous pouvez créer un calculateur de résultats de recherche de menaces pour votre intégration et utiliser un script pour déterminer comment vous souhaitez identifier les différents résultats observables. Le calculateur de résultats de recherche de menace comprend un exemple de script fourni avec le système de base, que vous pouvez utiliser pour identifier les résultats observables ou modifier ce script en fonction de vos besoins.
Pour les intégrations tierces qui fournissent les résultats calculés, le calculateur de résultats de la recherche de menace mappe les résultats aux conclusions prises en charge dans le système de base.
Résultats de la recherche de menace de déploiement
| Dernier résultat observable | Résultat global de l’observable |
|---|---|
| Malveillant | Si l’un des fournisseurs de l’intégration signale l’observable comme malveillant, le résultat global de l’observable est marqué comme malveillant. |
| Suspect | Si aucun des fournisseurs d’intégration ne signale l’observable comme malveillant, l’un d’eux le signale comme suspect, puis le résultat observable global est marqué comme suspect. |
| Nettoyer | Si tous les fournisseurs de l’intégration signalent l’observable comme Propre, le résultat global de l’observable est marqué comme Propre. |
| Inconnu | Si aucun des fournisseurs d’intégration ne signale l’observable comme malveillant ou suspect et que l’un d’eux le signale comme inconnu, le résultat global de l’observable est marqué comme inconnu. |
Afficher les calculateurs de réputation de la recherche de menace
Vous pouvez consulter le calculateur de recherche de menaces pour déterminer comment la réputation de l’observable est calculée en fonction de la réponse d’un fournisseur de recherche de menaces spécifique.
Rôle requis : sn_sec_tisc.admin
- Accédez à la .
- Sélectionnez la section Calculateur de réputation de la recherche de menaces .
Vous pouvez consulter la liste des calculateurs de réputation de la recherche de menaces.
- Cliquez sur le calculateur de réputation de la recherche de menaces requis pour afficher les détails du calculateur.
Créer un calculateur de réputation de la recherche de menaces
- Accédez à la .
- Sélectionnez la section Calculateur de réputation de la recherche de menaces .
Vous pouvez consulter la liste des calculateurs de réputation de la recherche de menaces.
- Pour créer un calculateur de réputation de la recherche de menaces, cliquez sur Nouveau.
- Renseignez les champs du formulaire.
Tableau 2. Créer un calculateur de réputation de la recherche de menaces Champ Description Nom Nom du calculateur de réputation de la recherche de menaces. Actif Le calcul de la recherche de menace ne s’exécute que si l’option Actif est sélectionnée. Fournisseur de la recherche de menace Nom du fournisseur de recherche de menaces. Par exemple, CrowdStrike Falcon Intelligence. Script de réputation Éditeur de script pour déterminer comment vous souhaitez identifier les différents résultats observables. Chaque intégration de recherche de menaces est accompagnée d’un script de base pour calculer la réputation de la recherche de menaces. - Cliquez sur Enregistrer.