Execute uma Pesquisa de detecções

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Determine a prevalência de uma ameaça ao longo do tempo ou teste os esforços de correção ou erradicação. Você pode selecionar observáveis individuais ou vários observáveis e o intervalo de datas para sua pesquisa a partir de um incidente de segurança. Os resultados são incluídos em Observáveis de incidentes de segurança lista relacionada.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    A capacidade de Pesquisa de detecções tem um fluxo, Integração de operações de segurança - Fluxo de pesquisa de detecções, que executa a pesquisa de detecções. Este fluxo aceita uma lista de observáveis, encontra todas as capacidades de implementação, cria as consultas com base nas configurações de pesquisa de detecções e executa as pesquisas com base no fluxo configurado.
    Nota:
    Uma implementação ativa deve ser configurada. A Pesquisa de detecções é compatível com Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger e aprimoramento de incidentes QRadar. Se nenhuma implementação estiver disponível, ações de capacidade, como Execute a Pesquisa de detecções , não são exibidos nos menus do produto.

    Procedimento

    1. Navegue até um incidente de segurança.
    2. Clique em Mostrar IOC link relacionado.
    3. Selecione Observáveis Na guia Lista relacionada.
    4. Selecione os observáveis nos quais você deseja realizar uma pesquisa de detecções.
    5. Clique em Execute a Pesquisa de detecções em Ações nas linhas selecionadas... menu suspenso.
      Observáveis
      A caixa de diálogo Executar pesquisa de detecções é aberta.
      Caixa de diálogo Executar Pesquisa de detecções
      Nota:
      Os valores inseridos na caixa de diálogo substituem os valores de configuração de capacidade para esta execução.
    6. Escolha o número de dias ou um intervalo de datas para pesquisar dados.
      OpçãoDescrição
      Último O número de horas ou dias antes da criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas para pesquisar. As datas padrão são:
      • A data e hora em que o incidente foi aberto.
      • A data e hora sete dias antes da abertura do incidente.
      Nota:
      Último é o número de horas ou dias antes da criação do incidente a ser pesquisado. O padrão é 7 dias. O limite é de 99 horas ou dias.
    7. Clique em Pesquisar.
      Um registro de Pesquisa de detecções é criado. Os dados agregados e de detecções associados são exibidos no incidente de segurança em Resultados da pesquisa de detecções e. Detalhes da pesquisa de detecções guias.
      Nota:
      Os dados dos resultados da pesquisa de detecções podem ser compartilhados com Trusted Security Circle, com exceção de dados brutos no caso de implementações configuradas para incluir dados brutos.
      Tabela 1. Resultados da pesquisa de detecções
      Resultado Descrição
      Número O identificador da pesquisa de detecções.
      Contagem de observáveis Número de observáveis pesquisados por consulta.
      Detecções internas Contagem de detecções internas.
      Vistas externas Contagem de detecções externas. (Recebido do compartilhamento de ameaças.)
      Itens de configuração correspondidos Contagem de itens de configuração que corresponderam a um registro existente no cmdb para cada observável encontrado em seu ambiente.
      Intervalo de datas de início Hora de começar a procurar detecções.
      Intervalo de datas de término Hora de parar de procurar avistamentos.
      Atualização em Data e hora da última modificação.

      Observação: Se a implementação usada para a pesquisa de detecções estiver configurada para incluir dados brutos e pelo menos uma detecção for encontrada, um anexo contendo amostras de dados brutos aparecerá na parte superior do incidente de segurança.

      Tabela 2. Detalhes da Pesquisa de detecções
      Detalhe Descrição
      Pesquisa de detecção O identificador da pesquisa de detecções.
      Observável Observável pesquisado por consulta.
      Tipo de observável Tipo de observável pesquisado por consulta.
      Detecções internas Contagem agregada de detecções internas.
      Vistas externas Contagem agregada de detecções externas. (Recebido do compartilhamento de ameaças.)
      Atualização em Data e hora da última modificação.