시간 경과에 따른 위협의 확산을 확인하거나 정정 또는 근절 노력을 테스트합니다. 보안 인시던트에서 검색할 옵저버블과 데이터 범위를 개별적으로 또는 여러 개 선택할 수 있습니다. 결과는 보안 인시던트 옵저버블 관련 목록에 포함됩니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
Sightings 검색 역량에는 Sightings 검색을 실행하는 워크플로우 Security Operations Integration - 관찰 검색 워크플로우가 있습니다. 이 워크플로우는 옵저버블 목록을 수락하고, 구현 역량을 찾고, 사이팅 검색 구성을 기반으로 쿼리를 생성하고, 구성된 워크플로우를 기반으로 검색을 실행합니다.
주:
활성 구현을 구성해야 합니다. Sightings Search는 Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger 및 QRadar 인시던트 보강을 지원합니다. 사용 가능한 구현이 없으면 Sightings 검색 실행과 같은 역량 작업이 제품 메뉴에 표시되지 않습니다.
프로시저
보안 인시던트로 이동합니다.
IoC 표시 관련 링크를 클릭합니다.
관련 목록 탭에서 옵저버블을 선택합니다.
사이팅 검색을 수행하려는 옵저버블을 선택합니다.
Actions on selected rows...(선택한 행에 대한 작업...) 드롭다운 메뉴에서 Run Sightings Search(사이팅 검색 실행)를 클릭합니다.
사이팅 검색 실행 대화 상자가 열립니다.
주:
대화 상자에 입력한 값은 이 실행에 대한 역량 구성 값을 덮어씁니다.
데이터를 검색할 일 수 또는 날짜 범위를 선택합니다.
옵션
설명
마지막
검색할 인시던트가 생성되기 전의 시간 또는 일수입니다.
기본값은 7일입니다. 한도는 99시간 또는 일입니다.
해당 범위
검색할 날짜 범위입니다. 기본 날짜는 다음과 같습니다.
인시던트가 열린 날짜 및 시간입니다.
인시던트가 시작되기 7일 전의 날짜 및 시간입니다.
주:
마지막 은 검색할 인시던트를 생성하기 전까지의 시간 또는 일수입니다. 기본값은 7일입니다. 한도는 99시간 또는 일입니다.
검색을 클릭합니다.
사이팅 검색 기록이 생성됩니다. 집계 및 관련 사이팅 데이터는 사이팅 검색 결과 및 사이팅 검색 세부 정보 탭의 보안 인시던트에 표시됩니다.
주:
관찰 검색 결과 데이터는 원시 데이터를 포함하도록 구성된 구현의 경우 원시 데이터를 제외하고 공유할 Trusted Security Circle수 있습니다.
표 1. 검색 결과 찾기
결과
설명
번호
사이팅 검색의 식별자입니다.
옵저버블 수
쿼리로 검색된 옵저버블 수입니다.
내부 관찰
내부 사이팅 수입니다.
외부 관찰
외부 관찰 수입니다. (위협 공유에서 수신됨)
일치하는 구성 항목
사용자 환경에서 발견된 각 옵저버블에 대해 cmdb의 기존 기록과 일치하는 구성 항목 수입니다.
시작 날짜 범위
목격담을 찾을 시간입니다.
종료 날짜 범위
목격담을 찾는 것을 멈출 때입니다.
업데이트됨
마지막으로 수정한 날짜 및 시간입니다.
참고: 사이팅 검색에 사용되는 구현이 원시 데이터를 포함하도록 구성되어 있고 하나 이상의 사이팅이 발견되면 원시 데이터 샘플이 포함된 첨부 파일이 보안 인시던트의 맨 위에 나타납니다.