(Opcional) Anexar manualmente um observável para Análise híbrida

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Você pode anexar observáveis manualmente quando quiser executar pesquisas de ameaça em observáveis que não estão anexados a um incidente de segurança no gatilho de evento inicial. Além disso, você pode executar esta tarefa quando quiser mais informações sobre um observável relacionado.

    Antes de Iniciar

    Verifique se o observável é de um tipo compatível com a integração. A integração executa pesquisas nos seguintes tipos de observáveis:
    • Hashes de arquivo
    • Endereços IP
    • URLs
    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > incidentes > Mostrar todos os incidentes e abra um incidente de segurança ao qual você deseja anexar o observável.
    2. Em Incidente de segurança aberto, clique em Mostrar IOC link em Links relacionados .
      Guia Observáveis no registro do incidente.
    3. Em Observáveis clique em Novo .
      O formulário Observável é exibido.
    4. Em Valor Insira um observável (hash de arquivo, endereços IP ou URL).
    5. Clique no ícone de pesquisa e no Categorias de tipo de observável , clique no tipo de observável desejado na lista para preencher o campo.
      Lista de categorias de tipo de observável.
    6. Clique em Enviar.
      O fluxo é iniciado e verifica o novo observável. O status de execução e conclusão é exibido na seção Anotações de trabalho no registro de incidente de segurança.
    7. Navegue até o incidente de segurança e revise as anotações de trabalho.
      Status da pesquisa nas anotações de trabalho.
    8. Na parte inferior do registro, clique em Mostrar todas as listas relacionadas link relacionado.
    9. Clique em Resultados da pesquisa de ameaças para exibir os resultados.
      Guia Resultados da pesquisa de ameaças.
    10. Em Observável , clique no ícone de informações azul ao lado de um determinado observável para obter mais informações e dados brutos.
      Tarefa: Clique no símbolo de informações.
    11. Na caixa de diálogo exibida, clique em Registro em aberto para exibir os dados brutos e mais detalhes.
      Como alternativa, você também pode anexar um observável existente ao registro de incidente de segurança.
    12. Opcional: Com Observáveis selecionada, clique em Editar .
    13. Opcional: Em Editar membros mover um observável existente do formulário exibido Coleção . Lista de observáveis e clique em Salvar .
      Você retornará ao incidente de segurança.
    14. Na coluna extrema esquerda, selecione os observáveis nos quais você deseja executar a pesquisa e em Ações nas linhas selecionadas... lista de seleção, selecione Executar pesquisa de ameaças .
      Uma mensagem é exibida na parte superior do registro informando que a solicitação está sendo processada. Verifique se a pesquisa foi executada com sucesso.
    Revise as anotações de trabalho para obter mais informações e como prosseguir se você não puder verificar se a pesquisa foi executada com sucesso.