Sichtungssuchparameter Werden Verwendet

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Sie können Sichtungssuchparameter verwenden, die komplexere Abfragen definieren, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden.

    Sichtungssuchparameter Anzeigen

    Erforderliche Rolle: sn_sec_tisc.admin

    Führen Sie die folgenden Schritte aus, um die Sichtungssuchparameter anzuzeigen:
    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Integrationenan.
    2. Navigieren Sie auf der Seite Integrationen zu Ergänzungsintegrationen > Sichtungssuchean.
    3. Suchen Sie nach der Integration, für die Sie die Konfiguration der Sichtungssuche anzeigen möchten, und klicken Sie auf Bearbeiten .
    4. Wählen Sie aus Sichtungssuchkonfigurationen Registerkarte.

      Sie können die Liste der Sichtungssuchkonfigurationen anzeigen.

    5. Klicken Sie auf die erforderliche Sichtungssuchkonfiguration, um die Details der Konfiguration anzuzeigen.

      Registerkarte „Sichtungssuchparameter“

    6. Wählen Sie aus Sichtungssuchparameter Registerkarte.

      Sie können die Liste der Sichtungssuchparameter anzeigen.

    7. Klicken Sie auf den erforderlichen Sichtungssuchparameter, um die Details des Parameters anzuzeigen.
    8. Sie können auch die folgenden Aktionen auf der Registerkarte „Sichtungssuchparameter“ ausführen:
      1. Klicken Sie auf, um die Liste der Sichtungssuchparameter zu aktualisieren AktualisierungsoptionSymbol.
      2. Um eine Listenaktion für die Sichtungssuchparameter auszuführen, klicken Sie auf Aktionen auflistenSymbol.

        Bearbeiten Sie Spalten : Sie können diese Aktion verwenden, um vorhandene Spalten hinzuzufügen oder zu entfernen und die Reihenfolge entsprechend Ihren Anforderungen zu ändern.

      3. Klicken Sie auf , um Sichtungssuchparameter basierend auf Bedingungen zu filtern FilterbereichSymbol.

        Der Wert 1 gibt an, dass eine Bedingung für die Filterung verwendet wird.

    Erstellen Sie Einen Sichtungssuchparameter

    Beispiel für die Abfragegenerierung
    Configured Query: ${Observable}​
    
    Observables Substitutes for Sightings search: Obs1 , Obs2​
    
    Query: {Before each Value}Obs1{After each Value}{Between each value}{Before each Value}Obs2{After each Value}​
    
    ​
    
    Let observables are: 172.32.31.41 & 192.168.10.12​
    
    Query Formed with below configuration will be: “ip_address = 172.32.31.41 OR ip_address = 192.168.10.12”
    Führen Sie die folgenden Schritte aus, um einen Sichtungssuchparameter zu erstellen:
    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Integrationenan.
    2. Navigieren Sie auf der Seite Integrationen zu Ergänzungsintegrationen > Sichtungssuchean.
    3. Suchen Sie nach der Integration, für die Sie die Konfiguration der Sichtungssuche anzeigen möchten, und klicken Sie auf Bearbeiten .
    4. Wählen Sie aus Sichtungssuchkonfigurationen Registerkarte.

      Sie können die Liste der Sichtungssuchkonfigurationen anzeigen.

    5. Klicken Sie auf die erforderliche Sichtungssuchkonfiguration, um die Details der Konfiguration anzuzeigen.
    6. Wählen Sie aus Sichtungssuchparameter Registerkarte.

      Sie können die Liste der Sichtungssuchparameter anzeigen.

    7. Klicken Sie auf, um einen Sichtungssuchparameter zu erstellen Neu .

      Erstellen Sie einen Sichtungssuchparameter

    8. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Erstellen Sie einen Sichtungssuchparameter
      Feld Beschreibung
      Nach jedem Wert Der Sichtungssuchparameter nach jedem erkennbaren Element, wenn die Suchabfrage generiert wird.
      Zwischen jedem Wert Der Sichtungssuchparameter zwischen jedem erkennbaren Element, wenn die Suchabfrage generiert wird. Beispiel: ODER.
      Vor jedem Wert Der Sichtungssuchparameter vor jedem erkennbaren Element, wenn die Suchabfrage generiert wird.
      Konfiguration Die Konfigurationsdetails des Suchparameters.
      Erkennbarer Typ Definiert den Typ der Kategorie des erkennbaren Elements.
      Ersetzungsvariable Gibt den Namen der Variable an, die durch einen erkennbaren Wert ersetzt wird.
    9. Klicken Sie auf Speichern.