Verificar resultados esperados para Análise híbrida

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Os observáveis são gerados automaticamente por um incidente de segurança e verificados pela aplicação. Localize os resultados da pesquisa no incidente de segurança para verificar se a pesquisa de ameaças foi executada com sucesso. Exiba também dados brutos e execute pesquisas de ameaças em observáveis secundários.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Abra o registro de incidente de segurança com o qual você está trabalhando e verifique se a pesquisa foi executada com sucesso.
      Pesquisar status nas anotações de trabalho.
      Depois que a aplicação é configurada, o fluxo é iniciado automaticamente após a criação do incidente. O status de execução e conclusão da pesquisa é exibido nas anotações de trabalho no incidente de segurança.
    2. Revise as anotações de trabalho para obter mais informações sobre como prosseguir se você não puder verificar se a pesquisa foi executada com sucesso.
    3. Navegue até a parte inferior do registro de incidente de segurança e clique no link relacionado Mostrar todas as listas relacionadas para exibir os resultados.
      Nota:
      As imagens nas etapas a seguir são mostradas com a configuração Formulários com guias ativa nas Configurações do sistema. No canto superior direito da faixa superior, clique no ícone de engrenagem Configurações. Na caixa de diálogo Configurações do sistema exibida, clique em Formulários e verifique se Formulários com guias e Com o formulário estão selecionados.
      Resultados da pesquisa.
      A guia Resultados da pesquisa de ameaças exibe os resultados da pesquisa na parte inferior do registro de incidente de segurança. Observe que a coluna Descoberta exibe Desconhecido para registros não determinados como mal-intencionados. Para resultados correspondentes a maliciosos, a coluna Descoberta exibe Mal-intencionado .
    4. Na coluna Observável, clique em um observável para abrir o registro.
      Abrir registro de observável com marcador de descoberta e segurança.
      Para pesquisas correspondentes a mal-intencionadas, o campo Descoberta exibe Mal-intencionado e o observável é marcado com a origem Inteligência contra ameaças que o considerou mal-intencionado, neste caso, a integração Análise híbrida.
    5. Opcional: Siga as etapas para exibir dados brutos, exibir uma lista de observáveis secundários e executar uma pesquisa de ameaças em observáveis secundários selecionados.
      1. Navegue de volta para o incidente de segurança e, na guia Resultados da pesquisa de ameaças, clique no ícone de informações azul ao lado de um observável.
        Ícone de informações no registro.
      2. Na janela que é exibida, clique em Abrir registro para exibir os dados.
        A partir de todos os observáveis visíveis nos dados brutos exibidos na pesquisa, a integração Análise híbrida também cria observáveis secundários ou relacionados.
        Dados brutos no registro do observável.
        O link criado pela API, os dados brutos e outras informações são exibidos.
      3. Navegue de volta para o incidente de segurança e clique no link relacionado Mostrar IoC.
        Os observáveis secundários são exibidos na guia Observáveis secundários no incidente de segurança, porque a pesquisa encontrou uma conexão existente entre esses observáveis relacionados e o observável enviado inicialmente.
      4. Clique no campo ao lado de um observável na coluna Secundário para selecioná-lo e, em seguida, no link relacionado Executar pesquisa de ameaças para realizar uma pesquisa.
        Guia Observáveis secundários.
      5. Na caixa de diálogo exibida, verifique se a integração Análise híbrida está selecionada e clique em Enviar.
      6. Nas anotações de trabalho, verifique se a pesquisa foi executada com sucesso e, na guia Resultados da pesquisa de ameaças do incidente de segurança, localize os resultados da pesquisa dos observáveis secundários.
    Se você não vir os resultados na guia Resultados da pesquisa de ameaças, verifique se o observável é de um tipo compatível com a pesquisa pela integração.