Vues :

Procédure

  1. Accédez à DÉTECTION ET RÉPONSEInvestigation des menaces.
  2. Cliquez sur Avancé.
  3. Sélectionnez Fichier OpenIOC.
    Remarque
    Remarque
    L'utilisation de fichiers OpenIOC dans les investigations historiques présente les limitations suivantes :
    • Un seul fichier OpenIOC peut être chargé à la fois.
    • La seule condition prise en charge est IS. Les entrées qui utilisent d'autres conditions sont ignorées et barrées.
    • Les seuls indicateurs pris en charge sont ceux qui s'appliquent aux métadonnées collectées. Les entrées qui utilisent des indicateurs non pris en charge sont ignorées et barrées.
      Pour plus de détails, consultez Indicateurs IOC pris en charge.
  4. Spécifiez la période de données de l'investigation.
  5. Pour charger et lancer une investigation à l’aide d'un nouveau fichier OpenIOC :
    1. Cliquez sur Charger un fichier OpenIOC.
    2. Sélectionnez un fichier OpenIOC valide.
    3. Cliquez sur Ouvrir.
  6. Pour effectuer une investigation à l'aide d'un fichier OpenIOC existant :
    1. Cliquez sur Utiliser un fichier OpenIOC existant.
    2. Sélectionnez un fichier.
    3. Cliquez sur Appliquer.
  7. Cliquez sur Évaluer l'effet.
    La section Endpoints correspondants s'affiche. Veuillez attendre la fin de l'exécution de l'investigation.
  8. Vérifiez les résultats dans la section Endpoints correspondants.
    Les informations suivantes sont disponibles :
    Nom de la colonne
    Description
    Endpoint
    Nom de l'endpoint contenant l'objet correspondant
    Adresse IPv4
    Adresse IP de l'endpoint contenant l'objet correspondant
    L'adresse IP est attribuée par le réseau
    Système d'exploitation
    Système d'exploitation de l'endpoint
    Utilisateur
    Nom de l'utilisateur connecté lors de la première journalisation de l'objet correspondant par Security Agent
    Cliquez sur le nom d'utilisateur pour afficher plus de détails sur celui-ci.
    Première journalisation
    Date et heure de la première journalisation de l'objet correspondant par Security Agent
    Détails
    Cliquez sur l'icône pour ouvrir l'écran Détails de correspondance.
    L'écran Détails de correspondance affiche les informations suivantes :
    • Critères : critères utilisés pour l'évaluation
    • Première journalisation : date et heure de la première journalisation de l'objet correspondant par Security Agent
    • Occurrences dans l'interface de ligne de commande / le Registre : nombre de correspondances trouvées dans la ligne de commande ou les entrées de Registre
      Cliquez sur la valeur pour afficher plus de détails.
    • Endpoints affectés : si l'évaluation estime qu'un objet est malveillant, nombre d'endpoints sur lesquels une correspondance similaire a été détectée
      Ce nombre ne comprend que les endpoints affectés au cours des 90 derniers jours.
  9. Pour consulter la séquence des événements menant à l'exécution de l'objet correspondant, sélectionnez les endpoints qui nécessitent une analyse plus approfondie et cliquez sur Générer une analyse de cause première.
    L'écran Générer une analyse de cause première s'affiche.
  10. Donnez un nom à l'analyse de la cause première, puis cliquez sur Générer.
  11. Cliquez sur l'onglet Analyse de la cause première pour consulter les résultats. Veuillez attendre la fin de tâche.
Information associée