Aperçu

L’onglet Observables vous permet de suivre et de gérer divers types d’indicateurs associés à une alerte. Ces observables peuvent inclure des adresses IP, des domaines, des hachages de fichiers et d’autres artefacts techniques pertinents.

Types d’Observables

Indicateurs Réseau

  • Adresses IP
  • Noms de Domaine
  • URLs
  • Adresses Email
  • Services Réseau

Indicateurs de Fichier

  • Hachages de Fichier (MD5, SHA1, SHA256)
  • Noms de Fichier
  • Chemins de Fichier
  • Types de Fichier

Indicateurs Système

  • Clés de Registre
  • Noms de Processus
  • Commandes Système
  • Comptes Utilisateur

Indicateurs Personnalisés

  • Types d’Observables Personnalisés
  • Indicateurs Spécifiques à l’Organisation
  • Artefacts Spécifiques à l’Industrie

Gestion des Observables

Ajout d’Observables

  1. Cliquez sur le bouton “Ajouter un Observable”
  2. Sélectionnez le type d’observable
  3. Entrez la valeur de l’observable
  4. Ajoutez une description optionnelle
  5. Définissez les niveaux TLP/PAP si applicable

Opérations Groupées

  • Importez plusieurs observables
  • Exportez la liste d’observables
  • Mise à jour groupée de TLP/PAP
  • Suppression groupée d’observables

Propriétés des Observables

  • Classification par type
  • Valeur
  • Description
  • Niveau TLP (Traffic Light Protocol)
  • Niveau PAP (Permissible Actions Protocol)
  • Horodatages de première/dernière observation
  • Informations de source

Enrichissement d’Observables

Enrichissement Automatique

  • Données de réputation
  • Informations de géolocalisation
  • Données WHOIS
  • Contexte historique
  • Indicateurs connexes

Analyse Manuelle

  • Ajoutez des notes d’analyse
  • Liez à des sources externes
  • Documentez les résultats d’investigation
  • Étiquetez les observables connexes

Visualisation

Vue Liste

  • Colonnes triables
  • Filtres rapides
  • Indicateurs de type
  • Statut d’enrichissement

Vue Relationnelle

  • Connexions entre observables
  • Alertes connexes
  • Modèles communs
  • Visualisation chronologique

Meilleures Pratiques

  1. Qualité des Données

    • Validez le format des observables
    • Supprimez les faux positifs
    • Documentez le contexte
    • Maintenez un format cohérent

  2. Enrichissement

    • Examinez les données d’enrichissement
    • Mettez à jour les informations obsolètes
    • Documentez les découvertes
    • Liez les données connexes

  3. Organisation

    • Utilisez une nomenclature cohérente
    • Regroupez les observables connexes
    • Étiquetez efficacement
    • Documentez les relations

Prochaines Étapes

TTPs

Explorez les tactiques et procédures

Alertes Similaires

Trouvez des alertes connexes