활성 구현이 구성되어 있어야 합니다. Sightings Search는 Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger 및 QRadar 인시던트 보강을 지원합니다. 사용할 수 있는 구현이 없으면 사이팅 검색 실행과 같은 역량 작업이 제품 메뉴에 표시되지 않습니다.
프로시저
보안 인시던트로 이동합니다.
IoC 표시 관련 링크를 클릭합니다.
관련 목록 탭에서 옵저버블을 선택합니다.
사이팅 검색을 수행할 옵저버블을 선택합니다.
선택한 행에 대해 수행할 작업...(Actions on selected rows...) 드롭다운 메뉴에서 사이팅 검색 실행(Run Sightings Search)을 클릭합니다.
사이팅 검색 실행 대화 상자가 열립니다.
주:
대화 상자에 입력한 값은 이 실행에 대한 역량 구성 값을 덮어씁니다.
데이터를 검색할 날짜 수 또는 날짜 범위를 선택합니다.
옵션
설명
마지막
검색할 인시던트를 생성하기 전까지의 시간 또는 일수입니다.
기본값은 7일입니다. 제한은 99시간 또는 일입니다.
해당 범위
검색할 날짜의 범위입니다. 기본 날짜는 다음과 같습니다.
인시던트가 열린 날짜 및 시간입니다.
인시던트가 시작되기 7일 전의 날짜 및 시간입니다.
주:
마지막 은 검색할 인시던트가 생성되기 전까지의 시간 또는 일수입니다. 기본값은 7일입니다. 제한은 99시간 또는 일입니다.
검색을 클릭합니다.
사이팅 검색 기록이 작성됩니다. 집계 및 관련 사이팅 데이터는 사이팅 검색 결과 및 사이팅 검색 상세 정보 탭의 보안 인시던트에 표시됩니다.
주:
관찰 검색 결과 데이터는 원시 데이터를 포함하도록 구성된 구현의 경우 원시 데이터를 제외하고 과 공유할 Trusted Security Circle수 있습니다.
표 1. 사이팅 검색 결과
결과
설명
번호
사이팅 검색의 식별자입니다.
옵저버블 수
쿼리로 검색된 옵저버블 수입니다.
내부 사이팅
내부 사이팅 수입니다.
외부 사이팅
외부 사이팅 수입니다. (위협 공유에서 수신됨)
일치하는 구성 항목
환경에서 찾은 각 옵저버블에 대해 cmdb의 기존 기록과 일치하는 구성 항목 수입니다.
시작 날짜 범위
목격담을 찾을 시간입니다.
종료 날짜 범위
목격담을 찾는 것을 멈출 때입니다.
업데이트됨
마지막으로 수정한 날짜 및 시간입니다.
메모: 사이팅 검색에 사용되는 구현이 원시 데이터를 포함하도록 구성되어 있고 하나 이상의 사이팅이 발견되면 원시 데이터 샘플이 포함된 첨부 파일이 보안 인시던트의 맨 위에 나타납니다.