Configure a Pesquisa de detecções

  • Versão de lançamento: Australia
  • Atualizado 22 de abr. de 2026
  • 2 min. de leitura

    • Configure a integração de pesquisa de detecções para pesquisar nos logs da sua organização um ou mais observáveis para determinar quantas vezes cada observável aparece, dentro de um intervalo de datas especificado ou número de dias.

    Antes de Iniciar

    Importante:
    As integrações de aprimoramento serão exibidas somente se pelo menos uma integração de aprimoramento estiver instalada e ativa.
    . Central de segurança de inteligência contra ameaças Compatível com a Pesquisa de detecções somente para as seguintes integrações:
    • Splunk Pesquisa
    • Elasticsearch

    Função necessária: sn_sec_tisc.admin

    Nota:
    A seção Pesquisa de detecções lista as integrações do tipo Pesquisa de detecções. Cada integração configurada aparece como um cartão, que você pode habilitar ou desabilitar.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Selecione Integrações ícone.
      Página de Pesquisa de detecções mostrando três cartões de integração de aprimoramento habilitados: Duas integrações Splunk e uma integração com Elasticsearch, cada um com um carimbo de data/hora da última modificação e o botão Exibir.
    3. Selecione Configure o novo aprimoramento ação.
      Uma caixa de diálogo exibe as integrações disponíveis. Você deve selecionar a integração que deseja configurar.
    4. Selecione uma integração da lista de integrações disponíveis.
      A página Configurar novo aprimoramento para a integração selecionada é aberta. Por padrão, esta página é preenchida com detalhes da integração selecionada. Por exemplo, Splunk integração.

      Crie um formulário de integração de aprimoramento com Nome do fornecedor definido como Splunk, Tipo de integração definido como Pesquisa de detecção e a seção Configuração de integração visível.

    5. No formulário Criar integração, preencha os campos.
      Tabela 1. Criar formulário de integração
      Campo Descrição
      Integração de aprimoramento
      Nome Nome da nova integração de aprimoramento. Por exemplo, Splunk-1 .
      Nome do fornecedor Nome do fornecedor
      Nota:
      Os detalhes do fornecedor selecionado são pré-preenchidos por padrão. Por exemplo, Splunk .
      Tipo de Integração Tipo da integração selecionada.
      Nota:
      Este campo é definido automaticamente como Pesquisa de detecções e pré-preenchido por padrão.
      Descrição Descrição exclusiva da nova integração de aprimoramento.
      Crie um formulário de integração de aprimoramento com o nome do fornecedor definido como Splunk e o tipo de integração definido como Pesquisa de detecções.
    6. Em Configuração de integração configure os detalhes da integração com base em seus requisitos.
      . Configuração de integração A seção inclui detalhes de configuração, como chave de API, ID ou segredo do cliente da API, nome de usuário e senha. Os detalhes necessários variam dependendo da integração.
    7. Selecione Salvar para criar a configuração de integração de aprimoramento.
      Os detalhes fornecidos são validados e a integração de aprimoramento está inativa por padrão.
    8. Selecione Salvar como rascunho para salvar a configuração de aprimoramento como inativa.

      Você pode ativá-lo mais tarde.

      Nota:
      Se você não tiver certeza sobre os detalhes da configuração, selecione Salvar como rascunho . Depois de obter os detalhes necessários, abra o rascunho e insira as informações restantes e selecione Salvar para ativar a integração.
    9. Selecione Habilitar para habilitar a integração de aprimoramento.
      A integração de aprimoramento está habilitada. Você também pode habilitar uma integração de aprimoramento específica no Ações no bloco de integração no Catálogo .