Suchvorgänge für erkennbare Elemente durchführen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Sie können Threat Intelligence-Suchen für ein oder mehrere erkennbare Elemente durchführen, um zu bestimmen, ob sie bekannten Sicherheitsbedrohungen zugeordnet sind. Die ausgeführten Scan-Implementierungen hängen von den von Ihnen aktivierten ab.

    Vorbereitungen

    Bevor Sie Suchvorgänge durchführen können, müssen Sie das Threat Intelligence-Plugin aktivieren. Sie müssen auch das Plugin für mindestens eine der folgenden Scan-Implementierungen installieren:

    Erforderliche Rolle: sn_ti.write

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > IoC-Repository > Erkennbare Elemente.
    2. Führen Sie einen der folgenden Schritte aus:
      • Um eine Suche für mehr als ein erkennbares Element durchzuführen, wählen Sie die erkennbaren Elemente aus, klicken Sie auf Aktionen für ausgewählte Zeilenund wählen Sie Bedrohungssuche ausführenaus.
      • Um eine Suche für ein einzelnes erkennbares Element durchzuführen, öffnen Sie den Datensatz des erkennbaren Elements und klicken Sie auf den zugehörigen Link Bedrohungssuche ausführen.
      Slushbucket der Bedrohungssuche ausführen
    3. Wählen Sie die Implementierungen der Bedrohungssuche aus, die Sie verwenden möchten, oder wählen Sie Alle, um Suchvorgänge mit allen aktiven Implementierungen durchzuführen, und klicken Sie dann auf Absenden.
      Eine Meldung zeigt an, dass die Bedrohungssuchen begonnen haben. Security Operations-Integration – Workflow „Bedrohungssuche“. wird ausgeführt und führt auch die Implementierungs-Workflows für die von Ihnen ausgewählten Implementierungen der Bedrohungssuche aus. Die Suchvorgänge werden ausgeführt, und die Ergebnisse werden generiert.
    4. Wenn die Suchvorgänge abgeschlossen sind, können Sie auf die Registerkarte Ergebnisse der Bedrohungssuche klicken, um die Ergebnisse anzuzeigen.
      Suche nach Bedrohungen – Ergebnisse
      Suchergebnisder letzten Bedrohung: Sie können auch die neuesten Ergebnisse der Bedrohungssuche von jedem Integrationsanbieter anzeigen, wenn Sie auf die Registerkarte Suchergebnis der letzten Bedrohung klicken.
      Hinweis:
      Die Registerkarte „ Suchergebnis der letzten Bedrohung“ ist nicht Teil des Basissystems.
      Gehen Sie wie folgt vor, um diese Registerkarte zu aktivieren:
      1. Klicken Sie mit der rechten Maustaste auf die Formularkopfzeile.
      2. Navigieren zu Konfigurieren > Zugehörige Listen.
      3. Suchen Sie in der Liste Verfügbar nach Suchergebnissen für aktuelle Bedrohungen, und verschieben Sie sie in die Liste Ausgewählt.
      4. Klicken Sie auf Speichern.
        Sie können jetzt die aktuellen Ergebnisse der Bedrohungssuche von jedem Integrationsanbieter auf der Registerkarte Recent Threat Search Result (Suchergebnis der letzten Bedrohung) anzeigen.
        Ergebnis der letzten Bedrohungssuche
    5. Um zusätzliche Details anzuzeigen, einschließlich Rohergebnisse für eine bestimmte Suche, klicken Sie auf den Wert Ergebnis.
      Hinweis:
      Wenn die Implementierungen von VirusTotal oder OPSWAT Metadefender verwendet werden, werden die Details wie unten gezeigt konsolidiert.
      Details zu Ergebnissen der Bedrohungssuche