Gérer les IOC

S'applique À : WatchGuard Advanced EPDR

Dans la Galerie des IOC, vous gérez la liste des IOC disponibles pour les tâches de recherche. Vous pouvez ajouter, copier, modifier, approuver et supprimer des IOC.

Vous pouvez également importer et exporter des IOC à partir de la Galerie des IOC. Pour de plus amples informations, accédez à Importer et Exporter des IOC.

Créer un IOC

Lorsque vous créez un IOC, il est automatiquement disponible à utiliser dans WatchGuard Advanced EPDR. Vous pouvez créer un IOC depuis le début ou copier un IOC existant et le modifier.

Pour créer un Indicateur de Compromission :

  1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
  2. Sélectionnez Configuration.
  3. Sélectionnez Galerie des IOC.
  4. Cliquez sur Ajouter.
  5. Saisissez un Nom, un Auteur et une Description.
  6. Dans la liste déroulante Sélectionnez une Propriété, sélectionnez la fonctionnalité d'attaque que vous souhaitez détecter :
    • Valeur MD5 du Fichier: Recherche un fichier avec le hachage MD5 spécifié.
    • Valeur SHA-256 du Fichier: Recherche un fichier avec le hachage SHA-256 spécifié
    • Nom du fichier: Recherche un fichier avec le nom spécifié.
    • Chemin de Fichier: Recherche un fichier avec le chemin spécifié.
    • Domaine: Recherche une connexion réseau via TCP ou UDP vers ou depuis le domaine spécifié.
    • IPv4: Recherche une connexion TCP ou UDP vers ou depuis l'adresse IPv4 spécifiée.
    • IPv6: Recherche une connexion TCP ou UDP vers ou depuis l'adresse IPv6 spécifiée.
    • Règle YARA: Recherche un fichier dont le contenu correspond au modèle décrit dans la règle YARA.

      7. Un IOC ne peut pas inclure plus d'une règle YARA. Si vous ajoutez une règle YARA à un IOC vide, vous ne pouvez pas utiliser d'autres propriétés. De même, si vous ajoutez d'autres propriétés à un IOC, les règles YARA sont désactivées. Si une règle n'est pas conforme à la syntaxe YARA, un message d'erreur apparaît et vous ne pouvez pas enregistrer l'IOC.

  7. Dans la liste déroulante Sélectionnez un Opérateur, spécifiez comment vous souhaitez comparer les propriétés trouvées sur l'ordinateur avec la valeur de référence que vous avez définie dans l'IOC.
    • Dans : Une propriété trouvée sur l'ordinateur doit correspondre à au moins une valeur de propriété spécifiée dans la zone de texte Valeur.
    • Est égal à : Toutes les propriétés trouvées sur l'ordinateur doivent correspondre exactement aux valeurs de propriété que vous spécifiez dans la zone de texte Valeur.
  8. Dans la zone de texte Valeur, saisissez une valeur pour la propriété que vous avez sélectionnée.

    Pour saisir plusieurs valeurs, saisissez une valeur, puis appuyez sur Entrée. Les caractères génériques ne sont pas pris en charge.
  9. Pour ajouter une autre condition, cliquez sur Nouvelle Condition. Répétez les étapes 6 à 8.
  10. Pour combiner deux ou plusieurs conditions en une seule règle, cochez la case en regard de chaque condition que vous souhaitez combiner et sélectionnez l'opérateur logique (AND ou OR). Cliquez sur Grouper les Conditions.
    Une ligne grise relie les règles qui font partie du regroupement, de la même manière que les parenthèses regroupent les conditions dans une expression logique. Les parenthèses vous permettent de regrouper des opérandes à différents niveaux dans une expression logique.

Pour copier un IOC :

  1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
  2. Sélectionnez Configuration.
  3. Sélectionnez Galerie des IOC.
  4. Dans la ligne de l'IOC que vous souhaitez copier, cliquez sur L'icône d'options. et sélectionnez Effectuer une Copie.

    La boîte de dialogue Modifier un IOC s'ouvre.
  5. Dans la zone de texte Nom, saisissez un nouveau nom pour l'IOC.
  6. Dans la zone de texte Description, saisissez une nouvelle description pour l'IOC.
  7. Modifiez les paramètres de l'IOC. Pour plus d’informations, consultez les étapes 6 à 8 de la procédure de création d’un IOC.
  8. Cliquez sur OK.

Modifier et Approuver les IOC

Lorsque vous importez des IOC, vous devez examiner et approuver l'instruction de recherche avant qu'une tâche de recherche puisse utiliser l'IOC. Les IOC qui nécessitent une approbation s'affichent sous la forme STIX (En Attente d'Approbation).

Pour plus d'informations sur la façon d'importer un IOC, accédez à Importer et Exporter des IOC.

Pour modifier et approuver un IOC :

  1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
  2. Sélectionnez Configuration.
  3. Sélectionnez Galerie des IOC.
  4. Sélectionnez l'IOC que vous souhaitez modifier ou approuver.
    La boîte de dialogue Modifier un IOC s'ouvre.
  5. Modifiez le Nom et la Description, si nécessaire.
  6. Modifiez les caractéristiques utilisées pour détecter les ordinateurs, si nécessaire.
  7. Cliquez sur Approuver la Description de la Recherche.
  8. Cliquez sur Enregistrer.

Supprimer un IOC

Vous ne pouvez pas supprimer les IOC faisant partie d'une tâche en cours. Lorsque vous supprimez un IOC, les données historiques de l'IOC restent dans la liste IOC Détectés et dans le tableau de bord des IOC.

Pour supprimer un seul IOC :

  1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
  2. Sélectionnez Configuration.
  3. Sélectionnez Galerie des IOC.
  4. Dans la ligne de l'IOC que vous souhaitez supprimer, cliquez sur L'icône d'options. et sélectionnez Supprimer.
    L'IOC est supprimé de la liste.

Pour supprimer plusieurs IOC :

  1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
  2. Sélectionnez Configuration.
  3. Sélectionnez Galerie des IOC.
  4. Cochez la case de chaque IOC que vous souhaitez supprimer.
  5. Dans la barre d'outils, cliquez sur L'icône Supprimer. Supprimer.

Rubriques Connexes

Indicateurs de Compromission (IOC) dans WatchGuard Advanced EPDR

À propos de la Galerie des IOC

Importer et Exporter des IOC

Créer une Tâche de Recherche d'IOC