Configurar pesquisa de detecções

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Você pode executar a pesquisa de detecções em um ou vários observáveis para determinar o número de vezes que os observáveis são avistados nos logs da sua organização. Você pode executar a pesquisa de detecções em observáveis dentro de um número selecionado de dias ou dentro de um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Nota:
    O módulo Integrações de aprimoramento só será mostrado se pelo menos uma das integrações que oferecem suporte a qualquer uma das capacidades estiver instalada na aplicação.
    O Central de segurança de inteligência contra ameaças é compatível com a Pesquisa de detecções somente para as seguintes integrações:
    • Pesquisa do Splunk
    • ElasticSearch

    Por Que e Quando Desempenhar Esta Tarefa

    A seção Pesquisa de detecções contém somente as integrações com o tipo de integração como pesquisa de detecções.

    Esta seção exibe cartões para cada uma das implementações de integração configuradas que você pode ativar e usar.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique no ícone Integrações e selecione a seção Pesquisa de detecções.
      Integrações de pesquisa de detecções
    3. Clique na ação Configurar nova enriquecimento.
      Isso leva você ao pop-up que exibe as integrações disponíveis. Você precisa escolher a integração que precisa configurar.
    4. Selecione uma integração na lista de integrações disponíveis e clique em Selecionar.
      Isso leva você para a página Criar nova integração de aprimoramento da integração selecionada. Esta página é preenchida previamente com detalhes da integração selecionada por padrão. Por exemplo, integração Splunk.

      Selecione e integração na lista de integrações disponíveis

    5. No formulário Criar nova integração, preencha os campos.
      CampoDescrição
      Integração de aprimoramento  
      Nome Insira um nome para a nova integração de aprimoramento. Por exemplo, Splunk-1.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos previamente por padrão. Por exemplo, Splunk.
      Tipo de Integração Tipo de integração que você selecionou, que é Pesquisa de detecções. Os detalhes do tipo de integração selecionado são preenchidos previamente por padrão.
      Descrição Insira uma descrição exclusiva para a nova integração de aprimoramento.
      Criar novo formulário de integração de aprimoramento
    6. Na seção Configuração de integração, configure os detalhes da integração com base em seus requisitos.
      A seção Configuração de integração inclui detalhes de configuração, como chave de API, ID ou segredo do cliente de API, nome de usuário, senha e assim por diante, que você precisa preencher. Esses detalhes de configuração variam para diferentes apps.
    7. Clique na ação Salvar para armazenar e criar a nova configuração de integração de aprimoramento.
      Os detalhes fornecidos são validados e, por padrão, o status da integração de aprimoramento está desabilitado.
    8. Clique em Salvar como ação de rascunho para armazenar somente as atualizações feitas na configuração de aprimoramento e não criá-las.
      Se você não tiver certeza sobre os detalhes da configuração, poderá usar a opção Salvar como rascunho. Depois de obter os detalhes da configuração, você pode preencher as informações restantes na versão de rascunho e criá-la.
    9. Para habilitar a integração de aprimoramento, clique em Habilitar.
      A integração de aprimoramento foi habilitada com sucesso. Você também pode habilitar uma integração de aprimoramento específica usando o menu Ações do bloco de integração necessária na página Catálogo ou na página Todas as integrações.