Configure a Pesquisa de detecções

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Você pode realizar a pesquisa de detecções em um ou vários observáveis para determinar o número de vezes que os observáveis são detectados nos logs da sua organização. Você pode realizar a pesquisa de detecções em observáveis dentro de um número selecionado de dias ou dentro de um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Nota:
    O módulo Integrações de aprimoramento só será mostrado se pelo menos uma das integrações compatíveis com qualquer uma das capacidades estiver instalada na aplicação.
    . Central de segurança de inteligência contra ameaçasO oferece suporte à Pesquisa de detecções somente para as seguintes integrações:
    • Pesquisa do Splunk
    • Elasticsearch

    Por Que e Quando Desempenhar Esta Tarefa

    A seção Pesquisa de detecções contém somente as integrações com o tipo de integração como pesquisa de detecções.

    Esta seção exibe cartões para cada uma das implementações de integração configuradas que você pode ativar e usar.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique em Integrações e selecione Pesquisa de detecções seção.
      Integrações da Pesquisa de detecções
    3. Clique em Configure o novo aprimoramento ação.
      Isso leva você para o pop-up que exibe as integrações disponíveis. Você precisa escolher a integração que precisa configurar.
    4. Selecione uma integração na lista de integrações disponíveis e clique em Selecione .
      Isso leva você para a página Criar nova integração de aprimoramento da integração selecionada. Por padrão, esta página é preenchida com detalhes da integração selecionada. Por exemplo, integração do Splunk.

      Selecione e integração na lista de integrações disponíveis

    5. No formulário Criar nova integração, preencha os campos.
      CampoDescrição
      Integração de aprimoramento  
      Nome Insira um nome para a nova integração de aprimoramento. Por exemplo, Splunk-1 .
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são pré-preenchidos por padrão. Por exemplo, Splunk .
      Tipo de Integração Tipo de integração que você selecionou, que é Pesquisa de detecções. Os detalhes do tipo de integração selecionado são pré-preenchidos por padrão.
      Descrição Insira uma descrição exclusiva para a nova integração de aprimoramento.
      Crie um novo formulário de integração de aprimoramento
    6. Na seção Configuração de integração, configure os detalhes da integração com base em seus requisitos.
      A seção Configuração de integração inclui detalhes de configuração, como chave de API, ID do cliente de API ou segredo, nome de usuário, senha e assim por diante, que você precisa preencher. Esses detalhes de configuração variam para diferentes apps.
    7. Clique em Salvar ação para armazenar e criar a nova configuração de integração de aprimoramento.
      Os detalhes fornecidos são validados e, por padrão, o status da integração de aprimoramento é desabilitado.
    8. Clique em Salvar como rascunho ação para armazenar somente as atualizações feitas na configuração de aprimoramento e não criá-la.
      Se você não tiver certeza sobre os detalhes da configuração, poderá usar Salvar como rascunho opção. Depois de obter os detalhes da configuração, você pode preencher as informações restantes na versão de rascunho e criá-la.
    9. Para habilitar a integração de aprimoramento, clique em Habilitar .
      A integração de aprimoramento foi habilitada com sucesso. Você também pode habilitar uma integração de aprimoramento específica usando o menu Ações do bloco de integração necessário na página Catálogo ou na página Todas as integrações.