Vérifier les résultats attendus pour PhishTank

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Les observables sont générés automatiquement par un incident de sécurité et analysés par l’application. Les résultats de la recherche sont affichés dans l’onglet Résultats de la recherche de menace au bas de l’enregistrement d’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Ouvrez le formulaire d’incident de sécurité avec lequel vous travaillez et vérifiez que la recherche a été exécutée avec succès.
      Recherchez l’état sur les notes de travail.
      Une fois l’application configurée, le flux se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est ensuite affiché dans les notes de travail de l’enregistrement d’incident de sécurité.
    2. Passez en revue les notes de travail pour plus d’informations et sur la procédure à suivre si vous ne pouvez pas vérifier que la recherche s’est correctement exécutée.
    3. Accédez au bas de l’incident de sécurité et cliquez sur le lien connexe Afficher toutes les listes connexes .
      Remarque :
      Les figures des étapes suivantes sont affichées avec le paramètre Formulaires à onglets actif dans les paramètres système. Si les formulaires à onglets ne sont pas affichés, cliquez sur l’icône d’engrenage Paramètres dans le coin supérieur droit de la bannière. Dans la boîte de dialogue Paramètres système qui s’affiche, cliquez sur Formulaires et vérifiez que Formulaires à onglets et Avec le formulaire sont sélectionnés.
      Résultats de la recherche de menaces.
      L’onglet Résultats de la recherche de menace au bas de l’enregistrement d’incident de sécurité affiche les résultats de la recherche.

      La colonne Résultat affiche Inconnu pour les enregistrements qui ne sont pas déterminés comme malveillants. Pour les résultats correspondant à malveillant, Malveillant s’affiche dans la colonne Résultat .

    4. Dans la colonne Observable , cliquez sur un observable pour ouvrir un enregistrement et afficher plus d’informations.
      Balise de sécurité et de résultat observable.
      Sur l’enregistrement de l’observable, pour les recherches correspondantes malveillantes, le champ Recherche est affiché. L’observable est étiqueté avec la Renseignements sur les menaces source qui l’a trouvé malveillant, dans ce cas, l’application PhishTank .
    5. Pour afficher les données brutes, revenez à l’incident de sécurité et cliquez sur l’icône d’informations bleues en regard d’un observable.
      Icône d’information sur l’enregistrement de sécurité.
    6. Dans la fenêtre qui s’affiche, cliquez sur Ouvrir l’enregistrement.
      Données brutes des observables.
      Le lien créé par l’API et le champ Recherche affiché avec les résultats.
    Si vous ne voyez pas de résultats sous l’onglet Résultats de la recherche de menace , vérifiez que l’observable est d’un type pris en charge pour la recherche par l’intégration.