Exécuter une recherche de perceptions

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Déterminez la prévalence d’une menace dans le temps ou testez les efforts de rattrapage ou d’éradication. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates de votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans la liste connexe des observables d’incident de sécurité .

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’aptitude Recherche de perceptions a un flux, Security Operations Integration - Flux de recherche de perceptions, qui exécute la recherche de perceptions. Ce flux accepte une liste d’observables, recherche toutes les options d’implémentation, crée les requêtes en fonction des configurations de recherche de perceptions et exécute les recherches en fonction du flux configuré.
    Remarque :
    Une implémentation active doit être configurée. La recherche de perceptions prend en charge l’enrichissement des incidents Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger et QRadar. Si aucune implémentation n’est disponible, les actions d’aptitude, telles que Exécuter la recherche de perceptions, ne sont pas affichées dans les menus de produit.

    Procédure

    1. Accédez à un incident de sécurité.
    2. Cliquez sur le lien connexe Afficher l’IoC .
    3. Sélectionnez Observables dans l’onglet Liste connexe.
    4. Sélectionnez les observables sur lesquels vous souhaitez effectuer une recherche d’observations.
    5. Cliquez sur Exécuter la recherche de perception dans le menu déroulant Actions sur les lignes sélectionnées...
      Observables
      La boîte de dialogue Exécuter la recherche de perception s’ouvre.
      Boîte de dialogue Exécuter la recherche de perception
      Remarque :
      Les valeurs saisies dans la boîte de dialogue remplacent les valeurs de configuration d’aptitude pour cette exécution.
    6. Choisissez le nombre de jours ou une plage de dates pour rechercher des données.
      OptionDescription
      Dernier Nombre d’heures ou de jours avant la création de l’incident pour la recherche.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont les suivantes :
      • Date et heure d’ouverture de l’incident.
      • Date et heure sept jours avant l’ouverture de l’incident.
      Remarque :
      Le dernier est le nombre d’heures ou de jours avant la création de l’incident à rechercher. La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
    7. Cliquez sur Rechercher.
      Un enregistrement de recherche de perceptions est créé. Les données de perception agrégées et associées sont affichées dans l’incident de sécurité sous les onglets Résultats de recherche de perception et Détails de recherche de perception .
      Remarque :
      Les données des résultats de recherche de perceptions peuvent être partagées avec Trusted Security Circle, à l’exception des données brutes dans le cas des implémentations configurées pour inclure des données brutes.
      Tableau 1. Résultats de recherche de perceptions
      Résultat Description
      Numéro L’identificateur de la recherche d’observations.
      Nombre d'observables Nombre d’observables recherchés par requête.
      Perceptions internes Nombre de perceptions internes.
      Perceptions externes Nombre de perceptions externes. (Reçu du partage de menaces.)
      Éléments de configuration correspondants Nombre d’éléments de configuration qui correspondent à un enregistrement existant dans votre CMDB pour chaque observable trouvé dans votre environnement.
      Plage de dates de démarrage Il est temps de commencer à chercher des observations.
      Plage de dates de fin Il est temps d’arrêter de chercher des observations.
      Mis à jour Date et heure de la dernière modification.

      Note: Si l’implémentation utilisée pour la recherche de perceptions est configurée pour inclure des données brutes et qu’au moins une détection est trouvée, une pièce jointe contenant des échantillons de données brutes apparaît en haut de l’incident de sécurité.

      Tableau 2. Détails de la recherche de perception
      Détail Description
      Recherche de perception L’identificateur de la recherche d’observations.
      Observable Observable recherché par requête.
      Type d'observable Type d’observable recherché par la requête.
      Perceptions internes Nombre agrégé de perceptions internes.
      Perceptions externes Nombre agrégé de perceptions externes. (Reçu du partage de menaces.)
      Mis à jour Date et heure de la dernière modification.