Introduction à l’intégration Carbon Black - Enrichissement des incidents

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • L’enrichissement d’incident Carbon Black facilite l’enquête sur un incident de sécurité en interrogeant les journaux à la recherche d’indicateurs potentiellement malveillants. Avant de pouvoir utiliser l’intégration Carbon Black - Enrichissement des incidents, vous devez la télécharger à partir de et ServiceNow Store ajouter l’URL de base de point de terminaison et le MID Server appropriés.

    Avant de commencer

    Rôle requis : sn_si_admin

    Procédure

    1. Télécharger l’intégration à partir de ServiceNow Store.
    2. Lorsque le téléchargement est terminé, accédez au Carbon Black site Web et obtenez l’URL de base du point de terminaison et le jeton d’API sous votre profil.
    3. Dans votre instance, accédez à Security Operations > Intégrations > Configuration de l'intégration.
    4. Dans la fiche Carbon Black - Incident Enrichment (Noir carbone - Enrichissement des incidents), cliquez sur Configurer.
      Enrichissement des incidents Carbon Black
    5. Renseignez les champs nécessaires.
      Champ Description
      Nom Nom de cette configuration.
      Base du point de terminaison L’URL du point de terminaison que vous avez acquise sur le site Carbon Black.
      URL de lien URL de lien qui renvoie vers une instance Carbon Black, lorsqu’elle est disponible.
      Jeton d'API Le jeton d’API que vous avez acquis sur le site Carbon Black.
      Lignes max. Nombre maximal de lignes que vous souhaitez rechercher. La valeur par défaut est de 1 000 lignes.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Effectuer une recherche binaire et de processus Sélectionnez cette option pour effectuer des recherches binaires pour trouver des fichiers binaires tels que des hachages de fichiers, et des recherches de processus pour .exe processus qui ont pu s’exécuter.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des échantillons de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend de votre configuration du nombre de lignes de propriété de données brutes dans lespropriétés de Security Incident Response.
      Serveur MID Sélectionnez N’importe lequel pour utiliser un MID Server actif ou sélectionnez un nom de MID Server spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    6. Cliquez sur Envoyer.
      La carte de configuration de l’intégration s’affiche.
    7. Pour revenir à la liste d’origine des cartes de configuration d’intégration, sélectionnez Non dans la liste déroulante Afficher les configurations .