Exécuter une recherche d’observations

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Déterminer la prévalence d’une menace dans le temps ou tester les efforts de rattrapage ou d’éradication. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates pour votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans la liste connexe Observables de l’incident de sécurité .

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’option de recherche de perceptions dispose d’un workflow, Security Operations Integration - Workflow de recherche de perceptions, qui exécute la recherche de perceptions. Ce workflow accepte une liste d’observables, trouve toutes les options d’implémentation, crée les requêtes en fonction des configurations de recherche de perceptions et exécute les recherches en fonction du workflow configuré.
    Remarque :
    Une implémentation active doit être configurée. La recherche de perceptions prend en charge l’enrichissement des incidents Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger et QRadar. Si aucune implémentation n’est disponible, les actions d’aptitude, telles que Exécuter la recherche de perceptions, ne sont pas affichées dans les menus produit.

    Procédure

    1. Accédez à un incident de sécurité.
    2. Cliquez sur le lien connexe Afficher IoC .
    3. Sélectionnez des observables dans l’onglet Liste connexe.
    4. Sélectionnez les observables sur lesquels vous souhaitez effectuer une recherche de perceptions.
    5. Cliquez sur Exécuter la recherche de perceptions dans le menu déroulant Actions sur les lignes sélectionnées.
      Observables
      La boîte de dialogue Exécuter la recherche de perceptions s’ouvre.
      Boîte de dialogue Exécuter la recherche de perception
      Remarque :
      Les valeurs saisies dans la boîte de dialogue remplacent les valeurs de configuration d’aptitude pour cette exécution.
    6. Choisissez le nombre de jours ou une plage de dates pour rechercher des données.
      OptionDescription
      Dernier Nombre d’heures ou de jours avant la création de l’incident à rechercher.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont les suivantes :
      • Date et heure d’ouverture de l’incident.
      • Date et heure sept jours avant l’ouverture de l’incident.
      Remarque :
      Le dernier est le nombre d’heures ou de jours avant la création de l’incident à rechercher. La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
    7. Cliquez sur Rechercher.
      Un enregistrement de recherche de perceptions est créé. Les données agrégées et les perceptions associées sont affichées dans l’incident de sécurité sous les onglets Résultats de recherche de perceptions et Détails de la recherche de perceptions .
      Remarque :
      Les données des résultats de recherche de perceptions peuvent être partagées avec Trusted Security Circle, à l’exception des données brutes dans le cas d’implémentations configurées pour inclure des données brutes.
      Tableau 1. Résultats de recherche de perceptions
      Résultat Description
      Numéro L’identificateur de la recherche de perceptions.
      Nombre d'observables Nombre d’observables recherchés par la requête.
      Perceptions internes Nombre de perceptions internes.
      Perceptions externes Nombre de perceptions externes. (Reçu de Threat Sharing.)
      Éléments de configuration correspondants Nombre d’éléments de configuration qui correspondaient à un enregistrement existant dans votre CMDB pour chaque observable trouvé dans votre environnement.
      Plage de dates de démarrage Il est temps de commencer à chercher des observations.
      Plage de dates de fin Il est temps d’arrêter de chercher des observations.
      Mis à jour Date et heure de la dernière modification.

      Note: Si l’implémentation utilisée pour la recherche de perceptions est configurée pour inclure des données brutes et qu’au moins une observation est trouvée, une pièce jointe contenant des échantillons de données brutes apparaît en haut de l’incident de sécurité.

      Tableau 2. Détails de la recherche de perception
      Détail Description
      Recherche de perception L’identificateur de la recherche de perceptions.
      Observable Observable recherché par requête.
      Type d'observable Type d’observable recherché par la requête.
      Perceptions internes Nombre agrégé de perceptions internes.
      Perceptions externes Nombre agrégé de perceptions externes. (Reçu de Threat Sharing.)
      Mis à jour Date et heure de la dernière modification.