(Optional) Fügen Sie ein erkennbares Element für manuell an Hybrid-Analyse

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Sie können erkennbare Elemente manuell anhängen, wenn Sie Bedrohungssuchen für erkennbare Elemente durchführen möchten, die nicht an einen Security Incident beim ersten Ereignisauslöser angehängt sind. Sie können diese Aufgabe auch ausführen, wenn Sie weitere Informationen zu einem zugehörigen erkennbaren Element wünschen.

    Vorbereitungen

    Stellen Sie sicher, dass das erkennbare Element von einem Typ ist, der von der Integration unterstützt wird. Die Integration führt Suchen nach den folgenden Arten von erkennbaren Elementen durch:
    • Datei-Hashes
    • IP-Adressen
    • URLs
    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen Und öffnen Sie einen Security Incident, an den Sie das erkennbare Element anhängen möchten.
    2. Klicken Sie im offenen Security Incident auf IOC anzeigen Verknüpfen in Zugehörige Links .
      Registerkarte „erkennbare Elemente“ im Incident-Datensatz.
    3. Auf Erkennbare Elemente Klicken Sie auf die Registerkarte Neu .
      Das Formular „erkennbares Element“ wird angezeigt.
    4. In Wert Feld ein erkennbares Element (Datei-Hash, IP-Adressen oder URL) eingeben.
    5. Klicken Sie auf das Suchsymbol und von Typkategorien Des Erkennbaren Elements Klicken Sie auf den gewünschten erkennbaren Elementtyp in der Liste, um das Feld auszufüllen.
      Kategorieliste des erkennbaren Elements.
    6. Klicken Sie auf Absenden.
      Der Flow wird gestartet und überprüft, ob das neue erkennbare Element vorhanden ist. Der Ausführungs- und Abschlussstatus wird im Abschnitt „Arbeitsnotizen“ im Security Incident-Datensatz angezeigt.
    7. Navigieren Sie zu Ihrem Security Incident, und überprüfen Sie die Arbeitsnotizen.
      Suchstatus in den Arbeitsnotizen.
    8. Klicken Sie unten im Datensatz auf Alle Zugehörigen Listen Anzeigen Zugehöriger Link.
    9. Klicken Sie auf Ergebnisse Der Bedrohungssuche Registerkarte zum Anzeigen der Ergebnisse.
      Registerkarte „Ergebnisse der Bedrohungssuche“.
    10. In Erkennbares Element Klicken Sie auf das blaue Informationssymbol neben einem bestimmten erkennbaren Element, um weitere Informationen und Rohdaten zu erhalten.
      Aufgabe: Klicken Sie auf das Informationssymbol.
    11. Klicken Sie im angezeigten Dialogfeld auf Datensatz Öffnen Zum Anzeigen der Rohdaten und weiterer Details.
      Alternativ können Sie auch ein vorhandenes erkennbares Element an den Security Incident-Datensatz anhängen.
    12. Wahlweise: Mit Erkennbare Elemente Registerkarte ausgewählt, klicken Sie auf Bearbeiten .
    13. Wahlweise: In Bearbeiten Sie Mitglieder Formular, das angezeigt wird, verschieben Sie ein vorhandenes erkennbares Element aus Sammlung Bis Liste Erkennbarer Elemente Und klicken Sie auf Speichern .
      Sie kehren zum Security Incident zurück.
    14. Wählen Sie in der Spalte ganz links die erkennbaren Elemente aus, für die Sie die Suche ausführen möchten, und aus Aktionen für ausgewählte Zeilen... Auswahlliste auswählen Bedrohungssuche ausführen .
      Oben im Datensatz wird eine Nachricht angezeigt, dass die Anforderung verarbeitet wird. Stellen Sie sicher, dass die Suche erfolgreich ausgeführt wurde.
    Überprüfen Sie die Arbeitsnotizen, um weitere Informationen zu erhalten und zu erfahren, wie Sie fortfahren können, wenn Sie nicht verifizieren können, dass die Suche erfolgreich ausgeführt wurde.