활성 구현을 구성해야 합니다. Sightings Search는 Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger 및 QRadar 인시던트 보강을 지원합니다. 사용 가능한 구현이 없으면 사이팅 검색 실행과 같은 역량 작업이 제품 메뉴에 표시되지 않습니다.
프로시저
보안 인시던트로 이동합니다.
IoC 표시 관련 링크를 클릭합니다.
관련 목록 탭에서 옵저버블을 선택합니다.
사이팅 검색을 수행할 옵저버블을 선택합니다.
선택한 행에 대해 수행할 작업... 드롭다운 메뉴에서 사이팅 검색 실행을 클릭합니다.
사이팅 검색 실행 대화 상자가 열립니다.
주:
대화 상자에 입력한 값은 이 실행에 대한 역량 구성 값을 덮어씁니다.
데이터를 검색할 일 수 또는 날짜 범위를 선택합니다.
옵션
설명
마지막
검색할 인시던트를 작성하기 전의 시간 또는 일수입니다.
기본값은 7일입니다. 한도는 99시간 또는 일입니다.
다음 날짜 사이
검색할 날짜 범위입니다. 기본 날짜는 다음과 같습니다.
인시던트가 열린 날짜 및 시간입니다.
인시던트가 열리기 7일 전의 날짜 및 시간입니다.
주:
마지막 은 검색할 인시던트가 생성되기 전의 시간 또는 일수입니다. 기본값은 7일입니다. 한도는 99시간 또는 일입니다.
검색을 클릭합니다.
사이팅 검색 기록이 생성됩니다. 집계 및 연관된 사이팅 데이터는 사이팅 검색 결과 및 사이팅 검색 상세 정보 탭 아래의 보안 인시던트에 표시됩니다.
주:
사이팅 검색 결과 데이터는 원시 데이터를 포함하도록 구성된 구현의 경우 원시 데이터를 제외하고 와 공유할 Trusted Security Circle수 있습니다.
표 1. 사이팅 검색 결과
결과
설명
번호
사이팅 검색의 식별자입니다.
옵저버블 수
쿼리로 검색된 옵저버블 수입니다.
내부 사이팅
내부 사이팅 수입니다.
외부 사이팅
외부 사이팅 수입니다. (위협 공유에서 수신)
일치하는 구성 항목
사용자 환경에서 발견된 각 옵저버블에 대해 CMDB의 기존 기록과 일치하는 구성 항목 수입니다.
시작 날짜 범위
목격을 찾기 시작할 시간입니다.
종료 날짜 범위
목격을 찾는 것을 멈출 시간입니다.
업데이트됨
마지막으로 수정한 날짜 및 시간입니다.
메모: 사이팅 검색에 사용되는 구현이 원시 데이터를 포함하도록 구성되어 있고 하나 이상의 사이팅이 발견되면 원시 데이터 샘플이 포함된 첨부 파일이 보안 인시던트의 맨 위에 나타납니다.