Führen Sie eine Sichtungssuche aus

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Bestimmen Sie die Verbreitung einer Bedrohung im Zeitverlauf, oder testen Sie Korrekturmaßnahmen oder Beseitigungsmaßnahmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Ergebnisse sind in enthalten Erkennbare Security Incidents Zugehörige Liste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Sichtungssuchfunktion verfügt über einen Flow, Integration Von Sicherheitsvorgängen: Sichtungssuche-Flow, Der die Sichtungssuche ausführt. Dieser Flow akzeptiert eine Liste erkennbarer Elemente, findet alle Implementierungsfähigkeiten, erstellt die Abfragen basierend auf Sichtungssuchkonfigurationen und führt die Suchen basierend auf dem konfigurierten Flow aus.
    Hinweis:
    Eine aktive Implementierung muss konfiguriert werden. Die Sichtungssuche unterstützt Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger und QRadar Incident-Anreicherung. Wenn keine Implementierungen verfügbar sind, Fähigkeitsaktionen, z. B. Sichtungssuche Ausführen , Werden nicht in Produktmenüs angezeigt.

    Prozedur

    1. Navigieren Sie zu einem Security Incident.
    2. Klicken Sie auf IOC anzeigen Zugehöriger Link.
    3. Wählen Sie Aus Erkennbare Elemente Auf der Registerkarte „zugehörige Liste“.
    4. Wählen Sie die erkennbaren Elemente aus, für die Sie eine Sichtungssuche durchführen möchten.
    5. Klicken Sie Auf Sichtungssuche Ausführen In Aktionen für ausgewählte Zeilen... Dropdown-Menü.
      Erkennbare Elemente
      Das Dialogfeld Sichtungssuche ausführen wird geöffnet.
      Dialogfeld „Sichtungssuche ausführen“
      Hinweis:
      Werte, die im Dialogfeld eingegeben werden, überschreiben die Fähigkeitskonfigurationswerte für diese Ausführung.
    6. Wählen Sie die Anzahl der Tage oder einen Datumsbereich aus, um nach Daten zu suchen.
      OptionBezeichnung
      Letzter Die Anzahl der Stunden oder Tage vor der Erstellung des zu suchenden Incidents.

      Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
      zwischen Datumsbereich, nach dem gesucht werden soll. Standarddaten sind:
      • Datum und Uhrzeit der Eröffnung des Incidents.
      • Datum und Uhrzeit sieben Tage vor der Eröffnung des Incidents.
      Hinweis:
      Zuletzt Ist die Anzahl der Stunden oder Tage vor der Erstellung des zu suchenden Incidents. Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
    7. Klicken Sie auf Suche.
      Ein Sichtungssuchdatensatz wird erstellt. Aggregierte und zugehörige Sichtungsdaten werden im Security Incident unter angezeigt Sichtungssuchergebnisse Und Sichtungssuchdetails Registerkarten.
      Hinweis:
      Sichtungssuchergebnisdaten können für freigegeben werden Trusted Security Circle, Mit Ausnahme von Rohdaten im Fall von Implementierungen, die so konfiguriert sind, dass Rohdaten eingeschlossen werden.
      Tabelle : 1. Ergebnisse der Sichtungssuche
      Ergebnis Beschreibung
      Nummer Der Bezeichner für die Sichtungssuche.
      Anzahl der erkennbaren Elemente Anzahl der erkennbaren Elemente, die nach Abfrage gesucht werden.
      Interne Sichtungen Anzahl der internen Sichtungen.
      Externe Sichtungen Anzahl der externen Sichtungen. (Erhalten von Bedrohungsfreigabe.)
      Übereinstimmende Konfigurationselemente Anzahl der Konfigurationselemente, die einem vorhandenen Datensatz in Ihrer cmdb für jedes in Ihrer Umgebung gefundene erkennbare Element entsprechen.
      Startdatumsbereich Zeit bis zur Suche nach Sichtungen.
      Enddatumsbereich Zeit, um die Suche nach Sichtungen zu beenden.
      Aktualisiert Datum und Uhrzeit der letzten Änderung.

      Hinweis: Wenn die für die Sichtungssuche verwendete Implementierung so konfiguriert ist, dass Rohdaten eingeschlossen werden und mindestens eine Sichtung gefunden wird, wird oben im Security Incident ein Anhang mit Rohdatenbeispielen angezeigt.

      Tabelle : 2. Details der Sichtungssuche
      Detail Beschreibung
      Sichtungssuche Der Bezeichner für die Sichtungssuche.
      Erkennbares Element Erkennbares Element, nach dem nach Abfrage gesucht wird.
      Erkennbarer Typ Typ des erkennbaren Elements, das nach Abfrage gesucht wird.
      Interne Sichtungen Aggregierte Anzahl der internen Sichtungen.
      Externe Sichtungen Aggregierte Anzahl externer Sichtungen. (Erhalten von Bedrohungsfreigabe.)
      Aktualisiert Datum und Uhrzeit der letzten Änderung.