À propos de la Galerie des IOC

S'applique À : WatchGuard Advanced EPDR

Sur la page Galerie des IOC, vous pouvez ajouter un IOC manuellement ou importer des IOC au format STIX. Pour plus d'informations sur la façon d'ajouter un IOC, accédez à Gérer les IOC. Pour plus d'informations sur la façon d'importer et d'exporter des IOC, accédez à Importer et Exporter des IOC.

Sur la page Configuration > Galerie des IOC, le tableau répertorie tous les IOC importés et créés. Vous pouvez filtrer le tableau en fonction du type d'IOC :

STIX (En attente d'approbation) — L'IOC a été importé à partir d'une source externe et nécessite une approbation pour le mettre à jour au format pris en charge par WatchGuard Advanced EPDR. Pour de plus amples informations, accédez à Gérer les IOC.
STIX — L'IOC a été importé à partir d'une source externe et son utilisation a été approuvée par les recherches d'IOC dans WatchGuard Advanced EPDR.
Créé par l'utilisateur — L'IOC a été créé dans WatchGuard Advanced EPDR. Son utilisation dans les recherches ne nécessite pas d’approbation.

Dans chaque ligne du tableau, vous pouvez cliquer sur et sélectionner l'une de ces options :

Rechercher des IOC — Ouvre une nouvelle tâche pour rechercher des IOC sur vos ordinateurs. Pour de plus amples informations, accédez à Créer une Tâche de Recherche d'IOC.
Faire une copie d'un IOC — Crée une copie de l'IOC sélectionné que vous pouvez modifier pour créer un nouveau IOC.
Voir le fichier STIX d'origine — Ouvre le fichier STIX d'origine pour un IOC. La page Fichier STIX s'ouvre avec une représentation graphique et le code de l'IOC. Pour de plus amples informations, accédez à Afficher le Fichier STIX d'Origine.
Voir les détections d'IOC — Ouvre la liste des IOC détectés. Pour de plus amples informations, accédez à Tableau de Bord Indicateurs de Compromission.
Supprimer — Supprime l'IOC sélectionné.
Exporter — Exporte l'IOC sélectionné au format de fichier JSON.

Afficher le Fichier STIX d'Origine

Lorsque vous importez un fichier STIX, vous devez examiner et approuver l'instruction de recherche avant que l'IOC puisse être utilisé dans une tâche de recherche.

Pour plus d'informations sur la façon d'importer des IOC, accédez à Importer et Exporter des IOC. Pour plus d'informations sur la façon d'approuver un IOC importé, accédez à Gérer les IOC.

Pour ouvrir le fichier STIX d'origine d'un IOC importé et examiner le code et les actions, cliquez sur et sélectionnez Voir le fichier STIX d'origine.
La fenêtre du fichier STIX s'ouvre.

Dans la fenêtre Fichier STIX, vous pouvez :

Cliquer et faire glisser les éléments dans le diagramme.
Cliquer sur Legend pour afficher une explication de chaque icône du graphique.
Cliquer sur Visualisation et Code pour consulter la représentation graphique ou une définition de code de l'IOC. Vous pouvez copier le code de l'IOC.

Bien que le code de l'IOC s'affiche tel qu'il a été importé, Advanced EPDR peut omettre des sections qui ne sont pas compatibles avec son implémentation. Les résultats de la recherche peuvent ne pas s'afficher comme prévu.

Rubriques Connexes

Gérer les IOC

À propos des Formats des Indicateurs de Compromission

Créer une Tâche de Recherche d'IOC

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.