Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche mit der FireEye-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Konfigurieren Sie das Sichtungssuchprofil mit dem folgenden Verfahren.

    Vorbereitungen

    Erforderliche Rolle: NowPlatform Security Incident-Administrator (sn_si.admin)

    Immer wenn eine Quelle erstellt wird, werden einzelne Sichtungssuchkonfigurationen für fünf Typen (Datei, IPs(v4), MD5, SHA1 und SHA256) erstellt und standardmäßig inaktiv. Sie sollten sie aktivieren, bevor Sie die Sichtungssuche verwenden. Jeder Typ des erkennbaren Elements verfügt über eine andere Suchabfrage, um Sichtungen abzurufen. Wir initiieren eine andere Suche für jeden erkennbaren Elementtyp. Die Suche mehrerer erkennbarer Elemente nach einer Sichtungssuche ist in FireEye nicht möglich, da dies einen UND-Vorgang für die erkennbaren Elemente ausführt und das Ergebnis möglicherweise ungenau ist.
    Hinweis:
    Für die Sichtungssuche können nur fünf aktive Suchen gleichzeitig vorhanden sein. Verbleibende wird in die Warteschlange gestellt und beginnt nach Abschluss einer der laufenden Sichtungen.

    Wenn Sie ein neues Sichtungssuchprofil erstellen möchten, führen Sie die folgenden Schritte aus, um eines zu erstellen:

    Prozedur

    1. Navigieren zu Integrationen > Sichtungssuche – Konfigurationan.
    2. Klicken Neuan.
    3. Füllen Sie die Felder im Formular aus.
      Feld Beschreibung
      Name Name für das Fähigkeitsprofil.
      Ist gespeicherte Suche Dadurch wird eine gespeicherte Suche ausgeführt, d. h. das Feld „Name“ muss mit dem Namen der gespeicherten Suche übereinstimmen.
      Sichtungssuchquelle Definiert die für die Integration konfigurierte Quelle.
      Suchen Fügen Sie eine native Suchzeichenfolge hinzu, um eine Abfrage zu erstellen.
      Aktiv Abfrage wird nur ausgeführt, wenn sie aktiv ist.
      Erkennbarer Typ Definiert den Typ der Kategorie des erkennbaren Elements.
      Maximale erkennbare Elemente pro Suche Die Anzahl der erkennbaren Elemente bevor die Suchabfrage in mehrere Abfragen aufgeteilt wird. Legen Sie diesen Wert für diese Integration auf 1 fest.
      Sichtungssuchparameter Verwenden Sie Sichtungssuchparameter, um komplexere Abfragen zu definieren, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden.
    4. Klicken Übermitteln Um die Konfiguration abzuschließen.