Führen Sie eine Sichtungssuche aus

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Bestimmen Sie die Verbreitung einer Bedrohung im Zeitverlauf, oder testen Sie Korrekturmaßnahmen oder Beseitigungsmaßnahmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Ergebnisse sind in enthalten Erkennbare Security Incident-Elemente Zugehörige Liste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Sichtungssuche verfügt über einen Flow, Integration Von Security Operations: Sichtungssuche-Flow, Der die Sichtungssuche ausführt. Dieser Flow akzeptiert eine Liste erkennbarer Elemente, findet alle Implementierungsfähigkeiten, erstellt die Abfragen basierend auf Sichtungssuchkonfigurationen und führt die Suchen basierend auf dem konfigurierten Flow aus.
    Hinweis:
    Eine aktive Implementierung muss konfiguriert werden. Die Sichtungssuche unterstützt Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger und QRadar-Incident-Anreicherung. Wenn keine Implementierungen verfügbar sind, Fähigkeitsaktionen, z. B. Sichtungssuche Ausführen , Werden nicht in Produktmenüs angezeigt.

    Prozedur

    1. Navigieren Sie zu einem Security Incident.
    2. Klicken Sie auf IOC anzeigen Zugehöriger Link.
    3. Wählen Sie Aus Erkennbare Elemente Auf der Registerkarte zugehörige Liste.
    4. Wählen Sie die erkennbaren Elemente aus, für die Sie eine Sichtungssuche durchführen möchten.
    5. Klicken Sie Auf Sichtungssuche Ausführen In Aktionen für ausgewählte Zeilen... Dropdown-Menü.
      Erkennbare Elemente
      Das Dialogfeld Sichtungssuche ausführen wird geöffnet.
      Dialogfeld „Sichtungssuche ausführen“
      Hinweis:
      Werte, die im Dialogfeld eingegeben werden, überschreiben die Konfigurationswerte der Fähigkeit für diese Ausführung.
    6. Wählen Sie die Anzahl der Tage oder einen Datumsbereich aus, um nach Daten zu suchen.
      OptionBezeichnung
      Letzte Die Anzahl der Stunden oder Tage vor der Erstellung des zu suchenden Incident.

      Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
      zwischen Bereich der zu suchenden Daten. Standarddaten sind:
      • Datum und Uhrzeit der Eröffnung des Incident.
      • Datum und Uhrzeit sieben Tage vor der Eröffnung des Incident.
      Hinweis:
      Zuletzt Ist die Anzahl der Stunden oder Tage vor der Erstellung des zu suchenden Incident. Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
    7. Klicken Sie auf Suche.
      Ein Sichtungssuchdatensatz wird erstellt. Aggregat- und zugehörige Sichtungsdaten werden im Security Incident unter angezeigt Sichtungssuchergebnisse Und Sichtungssuchdetails Registerkarten.
      Hinweis:
      Sichtungssuchergebnisdaten können für freigegeben werden Trusted Security Circle, Mit Ausnahme von Rohdaten im Fall von Implementierungen, die so konfiguriert sind, dass Rohdaten eingeschlossen werden.
      Tabelle : 1. Ergebnisse der Sichtungssuche
      Ergebnis Beschreibung
      Anzahl Der Bezeichner für die Sichtungssuche.
      Anzahl der erkennbaren Elemente Anzahl der erkennbaren Elemente, die nach Abfrage gesucht werden.
      Interne Sichtungen Anzahl der internen Sichtungen.
      Externe Sichtungen Anzahl der externen Sichtungen. (Erhalten von Bedrohungsfreigabe.)
      Übereinstimmende Konfigurationselemente Anzahl der Konfigurationselemente, die einem vorhandenen Datensatz in Ihrer cmdb für jedes in Ihrer Umgebung gefundene erkennbare Element entsprechen.
      Startdatumsbereich Zeit, um mit der Suche nach Sichtungen zu beginnen.
      Enddatumsbereich Zeit, um die Suche nach Sichtungen zu beenden.
      Aktualisiert Datum und Uhrzeit der letzten Änderung.

      Hinweis: Wenn die für die Sichtungssuche verwendete Implementierung so konfiguriert ist, dass Rohdaten eingeschlossen werden, und mindestens eine Sichtung gefunden wird, wird oben im Security Incident ein Anhang mit Rohdatenbeispielen angezeigt.

      Tabelle : 2. Details der Sichtungssuche
      Detail Beschreibung
      Sichtungssuche Der Bezeichner für die Sichtungssuche.
      Erkennbares Element Erkennbares Element, nach dem nach Abfrage gesucht wird.
      Typ des erkennbaren Elements Typ des erkennbaren Elements, nach dem nach Abfrage gesucht wird.
      Interne Sichtungen Zusammengefasste Anzahl der internen Sichtungen.
      Externe Sichtungen Zusammengefasste Anzahl der externen Sichtungen. (Erhalten von Bedrohungsfreigabe.)
      Aktualisiert Datum und Uhrzeit der letzten Änderung.