Comece a usar a integração Carbon Black - Aprimoramento de incidentes

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura
  • O aprimoramento de incidente Carbon Black facilita a investigação de um incidente de segurança consultando logs para indicadores potencialmente maliciosos. Para poder usar a integração Carbon Black - Aprimoramento de incidentes, você deve baixá-la em ServiceNow StoreE adicione o URL base do endpoint apropriado e o MID Server.

    Antes de Iniciar

    Função necessária: sn_si_admin

    Procedimento

    1. Baixe a integração do ServiceNow Store.
    2. Quando o download estiver concluído, acesse Carbon BlackE obtenha o URL base do endpoint e o token de API em seu perfil.
    3. Em sua instância, navegue até Operações de segurança > Integrações > Configuração de Integração.
    4. No cartão Carbon Black - Aprimoramento de incidente, clique em Configurar .
      Aprimoramento de incidente de negro de fumo
    5. Preencha os campos, conforme necessário.
      Campo Descrição
      Nome O nome desta configuração.
      Base do endpoint O URL do endpoint que você adquiriu no site Carbon Black.
      URL do Link O URL do link que vincula a uma instância do Carbon Black, quando disponível.
      Token de API O token de API que você adquiriu do site Carbon Black.
      Máx. de Linhas O número máximo de linhas que você deseja pesquisar. O padrão é 1000 linhas.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Executar pesquisa binária e de processo Selecione esta opção para executar pesquisas binárias para encontrar arquivos binários, como hashes de arquivo, e processar pesquisas de processos .exe que podem ter sido executados.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da sua configuração no número de linhas de dados brutos propriedade em Propriedades de resposta a incidentes de segurança .
      MID Server Selecione Qualquer Para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até Editor de fluxo de trabalho .
    6. Clique em Enviar.
      O cartão de configuração de integração é exibido.
    7. Para retornar à lista original de cartões de configuração de integração, selecione Não em Mostrar configurações lista suspensa.