(Opcional) Anexar manualmente um observável para Análise híbrida

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Você pode anexar observáveis manualmente quando quiser executar pesquisas de ameaças em observáveis que não estão anexados a um incidente de segurança no gatilho de evento inicial. Além disso, você pode executar esta tarefa quando quiser mais informações sobre um observável relacionado.

    Antes de Iniciar

    Verifique se o observável é de um tipo compatível com a integração. A integração realiza pesquisas nos seguintes tipos de observáveis:
    • Hashes de arquivo
    • Endereços IP
    • URLs
    Função necessária: sn_si.analista

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Incidentes > Mostrar todos os incidentes e abra um incidente de segurança ao qual você deseja anexar o observável.
    2. No incidente de segurança aberto, clique em Mostrar IOC link em Links relacionados .
      Guia Observáveis no registro do incidente.
    3. Em Observáveis clique em Novo .
      O formulário do observável é exibido.
    4. Em Valor Insira um observável (hash de arquivo, endereços IP ou URL).
    5. Clique no ícone de pesquisa e no Categorias de tipo de observável , clique no tipo de observável desejado na lista para preencher o campo.
      Lista de categorias de tipo de observável.
    6. Clique em Enviar.
      O fluxo é iniciado e verifica o novo observável. O status de execução e conclusão é exibido na seção de anotações de trabalho no registro de incidente de segurança.
    7. Navegue até o incidente de segurança e revise as anotações de trabalho.
      Status da pesquisa nas anotações de trabalho.
    8. Na parte inferior do registro, clique em Mostrar todas as listas relacionadas link relacionado.
    9. Clique em Resultados da pesquisa de ameaças para exibir os resultados.
      Guia de resultados da pesquisa de ameaças.
    10. Em Observável , clique no ícone azul de informações ao lado de um determinado observável para obter mais informações e dados brutos.
      Tarefa: Clique no símbolo de informações.
    11. Na caixa de diálogo exibida, clique em Abrir registro para exibir os dados brutos e mais detalhes.
      Como alternativa, você também pode anexar um observável existente ao registro de incidente de segurança.
    12. Opcional: Com o. Observáveis selecionada, clique em Editar .
    13. Opcional: Em Editar membros formulário exibido, mova um observável existente de Coleção para Lista de observáveis e clique em Salvar .
      Você retornará ao incidente de segurança.
    14. Na coluna mais à esquerda, selecione os observáveis nos quais você deseja executar a pesquisa e em Ações nas linhas selecionadas... lista de seleção, selecione Execute a pesquisa de ameaças .
      Uma mensagem é exibida na parte superior do registro informando que a solicitação está sendo processada. Verifique se a pesquisa foi executada com sucesso.
    Revise as anotações de trabalho para obter mais informações e como proceder se você não puder verificar se a pesquisa foi executada com sucesso.