Führen Sie eine Sichtungssuche aus

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Ermitteln Sie die Verbreitung einer Bedrohung im Laufe der Zeit, oder testen Sie Korrektur- oder Beseitigungsmaßnahmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Ergebnisse sind in der zugehörigen Liste „Erkennbare Elemente des Security Incident“ enthalten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Fähigkeit „Sichtungssuche“ verfügt über den Workflow Security Operations Integration - Sichtungssuche-Workflow, der die Sichtungssuche ausführt. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, findet implementierte Fähigkeiten, erstellt die Abfragen basierend auf Sichtungssuchkonfigurationen und führt die Suchvorgänge basierend auf dem konfigurierten Workflow aus.
    Hinweis:
    Eine aktive Implementierung muss konfiguriert sein. Die Sichtungssuche unterstützt Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger und QRadar Incident Enrichment. Wenn keine Implementierungen verfügbar sind, werden Fähigkeitsaktionen, wie z. B. Sichtungssucheausführen, nicht in Produktmenüs angezeigt.

    Prozedur

    1. Navigieren Sie zu einem Security Incident.
    2. Klicken Sie auf den zugehörigen Link IoC anzeigen.
    3. Wählen Sie auf der Registerkarte Zugehörige Liste die Option Erkennbare Elemente aus.
    4. Wählen Sie die erkennbaren Elemente aus, für die Sie eine Sichtungssuche durchführen möchten.
    5. Klicken Sie im Dropdown-Menü Aktionen für ausgewählte Zeilen... aufSichtungssuche ausführen.
      Erkennbare Elemente
      Das Dialogfeld „Sichtungssuche ausführen“ wird geöffnet.
      Dialogfeld „Sichtungssuche ausführen“.
      Hinweis:
      Die im Dialogfeld eingegebenen Werte überschreiben die Fähigkeitskonfigurationswerte für diese Ausführung.
    6. Wählen Sie die Anzahl der Tage oder einen Datumsbereich für die Suche nach Daten.
      OptionBezeichnung
      Letzter Anzahl der Stunden oder Tage vor der Erstellung des zu durchsuchenden Incidents.

      Der Standardwert ist 7 Tage. Das Limit beträgt 99 Stunden oder Tage.
      zwischen Datumsbereich für die Suche. Standarddaten sind:
      • Datum und Uhrzeit der Öffnung des incident.
      • Datum und Uhrzeit sieben Tage vor Eröffnung des Incidents
      Hinweis:
      Letzte ist die Anzahl der Stunden oder Tage vor der Erstellung des zu durchsuchenden Incidents. Der Standardwert ist 7 Tage. Das Limit beträgt 99 Stunden oder Tage.
    7. Klicken Sie auf Suche.
      Ein Datensatz für die Sichtungssuche wird erstellt. Aggregierte und zugehörige Sichtungsdaten werden im Security Incident auf den Registerkarten Ergebnisse der Sichtungssuche und Details der Sichtungssuche angezeigt.
      Hinweis:
      Sichtungssuchergebnisdaten können mit Trusted Security Circlegeteilt werden, mit Ausnahme von Rohdaten bei Implementierungen, die für die Einbeziehung von Rohdaten konfiguriert sind.
      Tabelle : 1. Ergebnisse der Sichtungssuche
      Ergebnis Beschreibung
      Nummer Der Bezeichner für die Sichtungssuche.
      Anzahl der erkennbaren Elemente Anzahl der anhand der Abfrage gesuchten erkennbaren Elemente.
      Interne Sichtungen Anzahl der internen Sichtungen.
      Externe Sichtungen Anzahl der externen Sichtungen. (Erhalten aus der Bedrohungsfreigabe.)
      Übereinstimmende Konfigurationselemente Anzahl der Konfigurationselemente, die für jedes in Ihrer Umgebung gefundene erkennbare Element mit einem vorhandenen Datensatz in Ihrer CMDB übereinstimmen.
      Startdatumsbereich Zeit, mit der Suche nach Sichtungen zu beginnen
      Enddatumsbereich Zeit, die Suche nach Sichtungen zu beenden.
      Aktualisiert Datum und Uhrzeit der letzten Änderung.

      Hinweis: Wenn die für die Sichtungssuche verwendete Implementierung so konfiguriert ist, dass Rohdaten einbezogen werden und mindestens eine Sichtung gefunden wird, wird oben im Security Incident ein Anhang mit Rohdatenbeispielen angezeigt.

      Tabelle : 2. Details der Sichtungssuche
      Detail Beschreibung
      Sichtungssuche Der Bezeichner für die Sichtungssuche.
      Erkennbares Element Über die Abfrage gesuchtes erkennbares Element.
      Erkennbarer Typ Typ des erkennbaren Elements, nach dem die Abfrage gesucht hat.
      Interne Sichtungen Aggregierte Anzahl interner Sichtungen.
      Externe Sichtungen Aggregierte Anzahl externer Sichtungen. (Erhalten aus der Bedrohungsfreigabe.)
      Aktualisiert Datum und Uhrzeit der letzten Änderung.