Exécuter une recherche d’observations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Déterminez la prévalence d’une menace dans le temps ou testez les efforts de rattrapage ou d’éradication. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates pour votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans la liste connexe Observables d’incident de sécurité .

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’option de recherche de perceptions dispose d’un workflow, Security Operations Integration - Workflow de recherche de perceptions, qui exécute la recherche de perceptions. Ce workflow accepte une liste d’observables, trouve toutes les options d’implémentation, crée les requêtes en fonction des configurations de recherche de perceptions et exécute les recherches en fonction du workflow configuré.
    Remarque :
    Une implémentation active doit être configurée. Sightings Search prend en charge l’enrichissement des incidents Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger et QRadar. Si aucune implémentation n’est disponible, les actions d’aptitude, telles que Exécuter la recherche de perceptions, ne sont pas affichées dans les menus produit.

    Procédure

    1. Accédez à un incident de sécurité.
    2. Cliquez sur le lien connexe Afficher l’IoC .
    3. Sélectionnez Observables dans l’onglet Liste connexe.
    4. Sélectionnez les observables sur lesquels vous souhaitez effectuer une recherche d’observations.
    5. Cliquez sur Exécuter la recherche de perceptions dans le menu déroulant Actions sur les lignes sélectionnées...
      Observables
      La boîte de dialogue Exécuter la recherche de perceptions s’ouvre.
      Boîte de dialogue Exécuter la recherche de perception
      Remarque :
      Les valeurs saisies dans la boîte de dialogue remplacent les valeurs de configuration d’aptitude pour cette exécution.
    6. Choisissez le nombre de jours ou une plage de dates pour rechercher des données.
      OptionDescription
      Dernier Nombre minimal d’heures ou de jours avant la création de l’incident à rechercher.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont :
      • Date et heure d’ouverture de l’incident.
      • La date et l’heure sept jours avant l’ouverture de l’incident.
      Remarque :
      Dernier est le nombre d’heures ou de jours avant la création de l’incident à rechercher. La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
    7. Cliquez sur Rechercher.
      Un enregistrement de recherche d’observations est créé. Les données de perception agrégées et associées sont affichées dans l’incident de sécurité sous les onglets Résultats de la recherche de perceptions et Détails de la recherche de perceptions .
      Remarque :
      Les données des résultats de recherche d’observations peuvent être partagées avec Trusted Security Circle, à l’exception des données brutes dans le cas d’implémentations configurées pour inclure des données brutes.
      Tableau 1. Résultats de recherche de perceptions
      Résultat Description
      Numéro L’identificateur de la recherche d’observations.
      Nombre d'observables Nombre d’observables recherchés par la requête.
      Perceptions internes Nombre de perceptions internes.
      Perceptions externes Nombre de perceptions externes. (Reçu à partir du partage des menaces.)
      Éléments de configuration correspondants Nombre d’éléments de configuration qui correspondaient à un enregistrement existant dans votre CMDB pour chaque observable trouvé dans votre environnement.
      Plage de dates de démarrage Il est temps de commencer à chercher des observations.
      Plage de dates de fin Il est temps d’arrêter de chercher des observations.
      Mis à jour Date et heure de la dernière modification.

      Note: Si l’implémentation utilisée pour la recherche de perceptions est configurée pour inclure des données brutes et qu’au moins une observation est trouvée, une pièce jointe contenant des exemples de données brutes apparaît en haut de l’incident de sécurité.

      Tableau 2. Détails de la recherche de perceptions
      Détail Description
      Recherche de perception L’identificateur de la recherche d’observations.
      Observable Observable recherché par la requête.
      Type d'observable Type d’observable recherché par la requête.
      Perceptions internes Nombre agrégé de perceptions internes.
      Perceptions externes Nombre agrégé de perceptions externes. (Reçu à partir du partage des menaces.)
      Mis à jour Date et heure de la dernière modification.