(Optional) Fügen Sie ein erkennbares Element für manuell an Hybrid-Analyse

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Sie können erkennbare Elemente manuell anhängen, wenn Sie Bedrohungssuchen für erkennbare Elemente durchführen möchten, die nicht an einen Security Incident im ersten Ereignisauslöser angehängt sind. Sie können diese Aufgabe auch ausführen, wenn Sie weitere Informationen zu einem zugehörigen erkennbaren Element wünschen.

    Vorbereitungen

    Überprüfen Sie, ob das erkennbare Element von einem Typ ist, der von der Integration unterstützt wird. Die Integration führt Suchen nach den folgenden Arten erkennbarer Elemente durch:
    • Datei-Hashes
    • IP-Adressen
    • URLs
    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen Und öffnen Sie einen Security Incident, an den Sie das erkennbare Element anhängen möchten.
    2. Klicken Sie im offenen Security Incident auf IOC anzeigen Link in Zugehörige Links .
      Registerkarte „erkennbare Elemente“ im Incident-Datensatz.
    3. Auf der Erkennbare Elemente Klicken Sie auf die Registerkarte Neu .
      Das Formular „erkennbares Element“ wird angezeigt.
    4. In Wert Feld ein erkennbares Element (Datei-Hash, IP-Adressen oder URL) eingeben.
    5. Klicken Sie auf das Suchsymbol und im Typkategorien Des Erkennbaren Elements Dialogfeld auf den gewünschten erkennbaren Typ in der Liste klicken, um das Feld auszufüllen.
      Liste der Kategorie des erkennbaren Elements.
    6. Klicken Sie auf Absenden.
      Der Flow wird gestartet und überprüft, ob das neue erkennbare Element vorhanden ist. Der Ausführungs- und Abschlussstatus wird im Abschnitt „Arbeitsnotizen“ im Security Incident-Datensatz angezeigt.
    7. Navigieren Sie zu Ihrem Security Incident, und überprüfen Sie die Arbeitsnotizen.
      Suchen Sie in den Arbeitsnotizen nach dem Status.
    8. Klicken Sie unten im Datensatz auf Alle Zugehörigen Listen Anzeigen Zugehöriger Link.
    9. Klicken Sie auf Ergebnisse Der Bedrohungssuche Registerkarte zum Anzeigen der Ergebnisse.
      Registerkarte „Ergebnisse der Bedrohungssuche“.
    10. In Erkennbares Element Klicken Sie auf das blaue Informationssymbol neben einem bestimmten erkennbaren Element, um weitere Informationen und Rohdaten zu erhalten.
      Aufgabe: Klicken Sie auf das Informationssymbol.
    11. Klicken Sie im angezeigten Dialogfeld auf Öffnen Sie Den Datensatz Zum Anzeigen der Rohdaten und weiterer Details.
      Alternativ können Sie auch ein vorhandenes erkennbares Element an den Security Incident-Datensatz anhängen.
    12. Wahlweise: Mit Erkennbare Elemente Registerkarte ausgewählt, klicken Sie auf Bearbeiten .
    13. Wahlweise: In Bearbeiten Sie Mitglieder Formular, das angezeigt wird, verschieben Sie ein vorhandenes erkennbares Element aus Sammlung Bis Liste Erkennbarer Elemente Und klicken Sie auf Speichern .
      Sie kehren zum Security Incident zurück.
    14. Wählen Sie in der Spalte ganz links die erkennbaren Elemente aus, für die Sie die Suche ausführen möchten, und aus Aktionen für ausgewählte Zeilen... Auswahlliste auswählen Bedrohungssuche ausführen .
      Oben im Datensatz wird eine Nachricht angezeigt, dass die Anforderung verarbeitet wird. Überprüfen Sie, ob die Suche erfolgreich ausgeführt wurde.
    Überprüfen Sie die Arbeitsnotizen, um weitere Informationen zu erhalten und zu erfahren, wie Sie fortfahren können, wenn Sie nicht verifizieren können, dass die Suche erfolgreich ausgeführt wurde.