Konfigurieren Sie ein Profil für die Sichtungssuche mit der FireEye-Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer
  • Konfigurieren Sie das Sichtungssuchprofil mit dem folgenden Verfahren.

    Vorbereitungen

    Erforderliche Rolle: NowPlatform Security Incident-Administrator (sn_si.admin)

    Immer wenn eine Quelle erstellt wird, werden einzelne Sichtungssuchkonfigurationen für fünf Typen (Datei, IPs(v4), MD5, SHA1 und SHA256) erstellt und standardmäßig deaktiviert. Sie sollten sie aktivieren, bevor Sie die Sichtungssuche verwenden. Jeder Typ des erkennbaren Elements verfügt über eine andere Suchabfrage, um Sichtungen abzurufen. Wir initiieren eine andere Suche für jeden erkennbaren Typ. Die Suche mehrerer erkennbarer Elemente nach einer Sichtungssuche ist in FireEye nicht möglich, da dies einen UND-Vorgang für die erkennbaren Elemente ausführt und das Ergebnis möglicherweise ungenau ist.
    Hinweis:
    Für die Sichtungssuche können nur fünf aktive Suchen gleichzeitig vorhanden sein. Verbleibend wird in die Warteschlange gestellt und beginnt nach Abschluss einer der laufenden Sichtungen.

    Wenn Sie ein neues Sichtungssuchprofil erstellen möchten, führen Sie die folgenden Schritte aus, um eines zu erstellen:

    Prozedur

    1. Navigieren zu Integrationen > Sichtungssuche – Konfigurationan.
    2. Klicken Neuan.
    3. Füllen Sie die Felder im Formular aus.
      Feld Beschreibung
      Name Name für das Fähigkeitsprofil.
      Ist gespeicherte Suche Dadurch wird eine gespeicherte Suche ausgeführt, d. h. das Feld „Name“ muss mit dem Namen der gespeicherten Suche übereinstimmen.
      Sichtungssuchquelle Definiert die für die Integration konfigurierte Quelle.
      Suchen Fügen Sie eine native Suchzeichenfolge hinzu, um eine Abfrage zu erstellen.
      Aktiv Abfrage wird nur ausgeführt, wenn sie aktiv ist.
      Typ des erkennbaren Elements Definiert den Typ der Kategorie erkennbarer Elemente.
      Maximale erkennbare Elemente pro Suche Die Anzahl der erkennbaren Elemente bevor die Suchabfrage in mehrere Abfragen aufgeteilt wird. Legen Sie diesen Wert für diese Integration auf 1 fest.
      Sichtungssuchparameter Verwenden Sie Sichtungssuchparameter, um komplexere Abfragen zu definieren, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden.
    4. Klicken Absenden Um die Konfiguration abzuschließen.