Execute uma Pesquisa de vistas

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Determine a prevalência de uma ameaça ao longo do tempo ou teste os esforços de correção ou erradicação. Você pode selecionar observáveis individuais ou vários observáveis e o intervalo de datas para sua pesquisa a partir de um incidente de segurança. Os resultados são incluídos em Observáveis de incidentes de segurança lista relacionada.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O recurso de Pesquisa de vistas tem um fluxo, Integração de operações de segurança - Fluxo de pesquisa de vistas, que executa a pesquisa de vistas. Este fluxo aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas com base nas Configurações de pesquisa de vistas e executa as pesquisas com base no fluxo configurado.
    Nota:
    Uma implementação ativa deve ser configurada. A Pesquisa de avistamentos oferece suporte ao Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger e aprimoramento de incidentes QRadar. Se nenhuma implementação estiver disponível, ações de capacidade, como Executar Pesquisa de vistas não são exibidos nos menus do produto.

    Procedimento

    1. Navegue até um incidente de segurança.
    2. Clique em Mostrar IOC link relacionado.
    3. Selecione Observáveis Na guia Lista relacionada.
    4. Selecione os observáveis nos quais você deseja executar uma pesquisa de vistas.
    5. Clique em Executar Pesquisa de vistas em Ações nas linhas selecionadas... menu suspenso.
      Observáveis
      A caixa de diálogo Executar pesquisa de vistas é aberta.
      Caixa de diálogo Executar pesquisa de vistas
      Nota:
      Os valores inseridos na caixa de diálogo substituem os valores de configuração de capacidade para esta execução.
    6. Escolha o número de dias ou um intervalo de datas para pesquisar dados.
      OpçãoDescrição
      Último O número de horas ou dias antes da criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas para pesquisar. As datas padrão são:
      • A data e a hora em que o incidente foi aberto.
      • A data e a hora sete dias antes da abertura do incidente.
      Nota:
      Último é o número de horas ou dias antes da criação do incidente a ser pesquisado. O padrão é 7 dias. O limite é de 99 horas ou dias.
    7. Clique em Pesquisar.
      Um registro de Pesquisa de vistas é criado. Os dados agregados e de vistas associados são exibidos no incidente de segurança em Resultados da pesquisa de vistas e. Detalhes da pesquisa de vistas guias.
      Nota:
      Os dados dos resultados da pesquisa de vistas podem ser compartilhados com Círculo de segurança confiável, com exceção de dados brutos no caso de implementações configuradas para incluir dados brutos.
      Tabela 1. Resultados da pesquisa de detecções
      Resultado Descrição
      Número O identificador da pesquisa de vistas.
      Contagem de observáveis Número de observáveis pesquisados por consulta.
      Detecções internas Contagem de vistas internas.
      Vistas externas Contagem de avistamentos externos. (Recebido do compartilhamento de ameaças.)
      Itens de configuração correspondidos Contagem de itens de configuração que corresponderam a um registro existente em seu cmdb para cada observável encontrado em seu ambiente.
      Intervalo de datas de início Hora de começar a procurar avistamentos.
      Intervalo de datas de término Hora de parar de procurar avistamentos.
      Atualização em Data e hora da última modificação.

      Observação: Se a implementação usada para a pesquisa de vistas estiver configurada para incluir dados brutos e pelo menos uma vista for encontrada, um anexo contendo amostras de dados brutos aparecerá na parte superior do incidente de segurança.

      Tabela 2. Detalhes da Pesquisa de detecções
      Detalhe Descrição
      Pesquisa de detecção O identificador da pesquisa de vistas.
      Observável Observável pesquisado por consulta.
      Tipo de observável Tipo de observável pesquisado por consulta.
      Detecções internas Contagem agregada de vistas internas.
      Vistas externas Contagem agregada de vistas externas. (Recebido do compartilhamento de ameaças.)
      Atualização em Data e hora da última modificação.