Executar uma pesquisa de vistas

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Determine a predominância de uma ameaça ao longo do tempo ou teste os esforços de correção ou erradicação. Você pode selecionar observáveis individuais ou vários e o intervalo de datas para sua pesquisa de um incidente de segurança. Os resultados são incluídos na lista relacionada de observáveis de incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    A capacidade Pesquisa de vistas tem um fluxo de trabalho, Integração do Security Operations - Fluxo de trabalho de pesquisa de detecções, que executa a pesquisa de vistas. Este fluxo de trabalho aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas com base nas configurações de pesquisa de vistas e executa as pesquisas com base no fluxo de trabalho configurado.
    Nota:
    Uma implementação ativa deve ser configurada. O Sightings Search oferece suporte ao aprimoramento de incidentes do Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger e QRadar. Se não houver implementações disponíveis, as ações de recurso, como Executar pesquisade vistas, não serão exibidas nos menus do produto.

    Procedimento

    1. Navegue até um incidente de segurança.
    2. Clique no link relacionado Mostrar IoC.
    3. Selecione Observáveis na guia Lista relacionada.
    4. Selecione os observáveis nos quais você deseja executar uma pesquisa de vistas.
    5. Clique em Executar pesquisa de vistas no menu suspenso Ações nas linhas selecionadas...
      Observáveis
      A caixa de diálogo Executar pesquisa de vistas é aberta.
      Caixa de diálogo Executar pesquisa de detecções
      Nota:
      Os valores inseridos na caixa de diálogo substituem os valores de configuração de recurso para esta execução.
    6. Escolha o número de dias ou um intervalo de datas para pesquisar dados.
      OpçãoDescrição
      Último O número de horas ou dias anteriores à criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas para pesquisa. As datas padrão são:
      • A data e a hora em que o incidente foi aberto.
      • A data e a hora sete dias antes da abertura do incidente.
      Nota:
      Oúltimo é o número de horas ou dias anteriores à criação do incidente a ser pesquisado. O padrão é 7 dias. O limite é de 99 horas ou dias.
    7. Clique em Pesquisar.
      Um registro de pesquisa de detecções é criado. Os dados agregados e de vistas associadas são exibidos no incidente de segurança nas guias Resultados da pesquisa de vistas e Detalhes da pesquisa de vistas.
      Nota:
      Os dados dos resultados da pesquisa de detecções podem ser compartilhados com Trusted Security Circle, com exceção dos dados brutos no caso de implementações configuradas para incluir dados brutos.
      Tabela 1. Resultados da pesquisa de detecções
      Resultado Descrição
      Número O identificador da pesquisa de vistas.
      Contagem de observáveis Número de observáveis pesquisados por consulta.
      Vistas internas Contagem de vistas internas.
      Vistas externas Contagem de avistamentos externos. (Recebido do compartilhamento de ameaças.)
      Itens de configuração correspondentes Contagem de itens de configuração que corresponderam a um registro existente no seu cmdb para cada observável encontrado em seu ambiente.
      Intervalo de datas de início Hora de começar a procurar vistas.
      Intervalo de datas de término Hora de parar de procurar vistas.
      Atualizado em: Data e hora da última modificação.

      Observação: se a implementação usada para a pesquisa de vistas estiver configurada para incluir dados brutos e pelo menos uma vista for encontrada, um anexo contendo amostras de dados brutos aparecerá na parte superior do incidente de segurança.

      Tabela 2. Detalhes da pesquisa de detecções
      Detalhe Descrição
      Pesquisa de vista O identificador da pesquisa de vistas.
      Observável Observável pesquisado por consulta.
      Tipo de observável Tipo de observável pesquisado por consulta.
      Vistas internas Contagem agregada de vistas internas.
      Vistas externas Contagem agregada de avistamentos externos. (Recebido do compartilhamento de ameaças.)
      Atualizado em: Data e hora da última modificação.