Verifique os resultados esperados para Análise híbrida

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Os observáveis são gerados automaticamente por um incidente de segurança e verificados pela aplicação. Localize os resultados da pesquisa no incidente de segurança para verificar se a pesquisa de ameaças foi executada com sucesso. Além disso, exiba dados brutos e execute pesquisas de ameaças em observáveis secundários.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Procedimento

    1. Abra o registro de incidente de segurança com o qual você está trabalhando e verifique se a pesquisa foi executada com sucesso.
      Status da pesquisa nas anotações de trabalho.
      Depois que a aplicação é configurada, o fluxo é iniciado automaticamente após a criação do incidente. O status de execução e conclusão da pesquisa é exibido nas anotações de trabalho no incidente de segurança.
    2. Se você não conseguir verificar se a pesquisa foi executada com sucesso, revise as anotações de trabalho para obter mais informações sobre como prosseguir.
    3. Navegue até a parte inferior do registro de incidente de segurança e clique em Mostrar todas as listas relacionadas link relacionado para exibir os resultados.
      Nota:
      As figuras nas etapas a seguir são mostradas com Formulários com guias Configuração ativa nas Configurações do sistema. No canto superior direito do quadro da faixa, clique no ícone de engrenagem Configurações. Em Configurações do sistema na caixa de diálogo exibida, clique em Formulários e verifique isso Formulários com guias e. Com o formulário estão selecionados.
      Resultados da pesquisa.
      . Resultados da pesquisa de ameaças exibe os resultados da pesquisa na parte inferior do registro de incidente de segurança. Observe o. Descoberta a coluna é exibida Desconhecido para registros não determinados como mal-intencionados. Para resultados correspondentes a mal-intencionados, o. Descoberta a coluna é exibida Mal-intencionado .
    4. Em Observável , clique em um observável para abrir o registro.
      Abra o registro do observável com descoberta e marcador de segurança.
      Para pesquisas correspondentes a mal-intencionadas, o. Descoberta o campo é exibido Mal-intencionado e o observável é marcado com Inteligência contra ameaçasfonte que descobriu que era mal-intencionado, neste caso, o. Análise híbridaintegração.
    5. Opcional: Siga as etapas para exibir dados brutos, exibir uma lista de observáveis secundários e executar uma pesquisa de ameaças em observáveis secundários selecionados.
      1. Navegue de volta para o incidente de segurança e no Resultados da pesquisa de ameaças clique no ícone azul de informações ao lado de um observável.
        Ícone de informações no registro.
      2. Na janela exibida, clique em Abrir registro para exibir os dados.
        De qualquer observável visível nos dados brutos exibidos na pesquisa, o. Análise híbridaa integração também cria observáveis secundários ou relacionados.
        Dados brutos no registro do observável.
        O link criado pela API, os dados brutos e outras informações são exibidos.
      3. Navegue de volta para o incidente de segurança e clique em Mostrar IOC link relacionado.
        Os observáveis secundários são exibidos no Observáveis secundários no incidente de segurança, porque a pesquisa encontrou uma conexão existente entre esses observáveis relacionados e o observável enviado inicialmente.
      4. Clique no campo ao lado de um observável no Secundário coluna para selecioná-la, seguida por Execute a pesquisa de ameaças link relacionado para executar uma pesquisa.
        Guia Observáveis secundários.
      5. Na caixa de diálogo exibida, verifique se Análise híbridaa integração está selecionada e clique em Enviar .
      6. Nas anotações de trabalho, verifique se a pesquisa foi executada com sucesso e no Resultados da pesquisa de ameaças no incidente de segurança, localize os resultados da pesquisa para os observáveis secundários.
    Se você não vir resultados em Resultados da pesquisa de ameaças verifique se o observável é um tipo compatível para pesquisa pela integração.