Führen Sie eine Sichtungssuche aus

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Bestimmen Sie die Verbreitung einer Bedrohung im Laufe der Zeit, oder testen Sie Korrektur- oder Beseitigungsmaßnahmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Die Ergebnisse sind in der zugehörigen Liste „Erkennbare Security Incident-Elemente“ enthalten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Fähigkeit „Sichtungssuche“ verfügt über den Workflow Security Operations Integration - Sichtungssuch-Workflow, der die Sichtungssuche ausführt. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, sucht nach Implementierungsfähigkeiten, erstellt die Abfragen basierend auf Sichtungssuchkonfigurationen und führt die Suchen basierend auf dem konfigurierten Workflow aus.
    Hinweis:
    Eine aktive Implementierung muss konfiguriert sein. Sichtungssuche unterstützt Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger und QRadar-Incident-Ergänzung. Wenn keine Implementierungen verfügbar sind, werden Fähigkeitsaktionen wie „Sichtungssucheausführen“ nicht in Produktmenüs angezeigt.

    Prozedur

    1. Navigieren Sie zu einem Security Incident.
    2. Klicken Sie auf den zugehörigen Link IoC anzeigen.
    3. Wählen Sie auf der Registerkarte „Zugehörige Liste“ die Option Erkennbare Elemente aus.
    4. Wählen Sie die erkennbaren Elemente aus, für die Sie eine Sichtungssuche durchführen möchten.
    5. Klicken Sie im Dropdown-Menü Aktionen für ausgewählte Zeilen... aufSichtungssuche ausführen.
      Erkennbare Elemente
      Das Dialogfeld „Sichtungssuche ausführen“ wird geöffnet.
      Dialogfeld „Sichtungssuche ausführen“.
      Hinweis:
      Die im Dialogfeld eingegebenen Werte überschreiben die Fähigkeitskonfigurationswerte für diese Ausführung.
    6. Wählen Sie die Anzahl der Tage oder einen Datumsbereich für die Suche nach Daten aus.
      OptionBezeichnung
      Letzte Die Anzahl der Stunden oder Tage vor der Erstellung des zu durchsuchenden Incidents.

      Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
      zwischen Zu durchsuchender Datumsbereich. Standarddaten:
      • Datum und Uhrzeit, zu der der Incident geöffnet wurde.
      • Datum und Uhrzeit sieben Tage vor Eröffnung des Incidents.
      Hinweis:
      Zuletzt ist die Anzahl der Stunden oder Tage vor der Erstellung des zu durchsuchenden Incidents. Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
    7. Klicken Sie auf Suche.
      Ein Sichtungssuchdatensatz wird erstellt. Zusammengefasste und zugehörige Sichtungsdaten werden im Security Incident auf den Registerkarten Sichtungssuchergebnisse und Sichtungssuchdetails angezeigt.
      Hinweis:
      Sichtungssuchergebnisdaten können mit Trusted Security Circlegeteilt werden, mit Ausnahme von Rohdaten bei Implementierungen, die für die Einbeziehung von Rohdaten konfiguriert sind.
      Tabelle : 1. Ergebnisse von Sightings Search
      Ergebnis Beschreibung
      Nummer Bezeichner für die Sichtungssuche.
      Anzahl der erkennbaren Elemente Anzahl der per Abfrage gesuchten erkennbaren Elemente.
      Interne Sichtungen Anzahl der internen Sichtungen.
      Externe Sichtungen Anzahl der externen Sichtungen. (Erhalten aus Bedrohungsfreigabe.)
      Übereinstimmende Konfigurationselemente Anzahl der Konfigurationselemente, die mit einem vorhandenen Datensatz in Ihrer CMDB für jedes in Ihrer Umgebung gefundene erkennbare Element übereinstimmten.
      Startdatumsbereich Zeit, um mit der Suche nach Sichtungen zu beginnen.
      Enddatumsbereich Zeit, um die Suche nach Sichtungen zu beenden.
      Aktualisiert Datum und Uhrzeit der letzten Änderung.

      Hinweis: Wenn die für die Sichtungssuche verwendete Implementierung so konfiguriert ist, dass sie Rohdaten enthält, und mindestens eine Sichtung gefunden wird, wird oben im Security Incident ein Anhang mit Rohdatenbeispielen angezeigt.

      Tabelle : 2. Sichtungssuchdetails
      Detail Beschreibung
      Sichtungssuche Bezeichner für die Sichtungssuche.
      Erkennbares Element Erkennbares Element, nach dem per Abfrage gesucht wird.
      Erkennbarer Typ Typ des erkennbaren Elements, nach dem per Abfrage gesucht wird.
      Interne Sichtungen Aggregierte Anzahl der internen Sichtungen.
      Externe Sichtungen Aggregierte Anzahl der externen Sichtungen. (Erhalten aus Bedrohungsfreigabe.)
      Aktualisiert Datum und Uhrzeit der letzten Änderung.