Erste Schritte mit der Integration Carbon Black – Incident-Anreicherung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Die Carbon Black-Incident-Ergänzung erleichtert die Untersuchung eines Security Incidents, indem Protokolle nach potenziell schädlichen Indikatoren abgefragt werden. Bevor Sie die Integration Carbon Black – Incident-Anreicherung verwenden können, müssen Sie sie aus herunterladen ServiceNow Store Und fügen Sie die entsprechende Endpunkt-Basis-URL und DEN MID-Server hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Laden Sie die Integration aus dem herunter ServiceNow Storean.
    2. Wenn der Download abgeschlossen ist, greifen Sie auf zu Carbon Black Website und rufen Sie die Endpunkt-Basis-URL und das API-Token unter Ihrem Profil ab.
    3. Navigieren Sie in Ihrer Instanz zu Security Operations > Integrationen > Integrationskonfigurationan.
    4. Klicken Sie auf der Karte Carbon Black – Incident-Anreicherung auf Konfigurieren .
      Carbon Black-Incident-Anreicherung
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Endpunktbasis Die Endpunkt-URL, die Sie von der Carbon Black-Website erworben haben.
      Link-URL Die Link-URL, die mit einer Carbon Black-Instanz verknüpft ist, falls verfügbar.
      API-Token Das API-Token, das Sie von der Carbon Black-Website erworben haben.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten. Der Standardwert ist 1000 Zeilen.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie in Tagen anzeigen möchten.
      Binär- und Prozesssuche durchführen Wählen Sie diese Option aus, um binäre Suchen durchzuführen, um binäre Dateien wie Datei-Hashes zu finden, und um nach .exe-Prozessen zu suchen, die möglicherweise ausgeführt wurden.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in ab Anzahl der Zeilen mit Rohdaten Eigenschaft in Eigenschaften von Security Incident Response .
      MID-Server Wählen Sie Aus Beliebig Um einen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Navigieren Sie zum Verwalten der Workflows zu Workflow-Editor .
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie aus Nein Von Konfigurationen Anzeigen Dropdown-Liste.