(Opcional) Anexar manualmente um observável para Hybrid Analysis

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Você pode anexar observáveis manualmente quando quiser executar pesquisas de ameaça em observáveis que não estão anexados a um incidente de segurança no gatilho de evento inicial. Além disso, você pode executar esta tarefa quando quiser mais informações sobre um observável relacionado.

    Antes de Iniciar

    Verifique se o observável é de um tipo compatível com a integração. A integração realiza pesquisas nos seguintes tipos de observáveis:
    • Hashes de arquivo
    • Endereços IP
    • URLs
    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Incidentes > Mostrar Todos os Incidentes e abra um incidente de segurança ao qual você deseja anexar o observável.
    2. No incidente de segurança aberto, clique no link Mostrar IoCem Links relacionados.
      Guia Observáveis no registro do incidente.
    3. Na guia Observáveis, clique em Novo.
      O formulário Observável é exibido.
    4. No campo Valor, insira um observável (hash de arquivo, endereços IP ou URL).
    5. Clique no ícone de pesquisa e, na caixa de diálogo Categorias de tipo de observável, clique no tipo de observável desejado na lista para preencher o campo.
      Lista de categorias de tipo de observável.
    6. Clique em Enviar.
      O fluxo de trabalho é iniciado e verifica o novo observável. O status de execução e conclusão é exibido na seção de anotações de trabalho no registro do incidente de segurança.
    7. Navegue até o seu incidente de segurança e revise as anotações de trabalho.
      Pesquisar status nas anotações de trabalho.
    8. Na parte inferior do registro, clique no link relacionado Mostrar todas as listas relacionadas.
    9. Clique na guia Resultados da pesquisa de ameaças para exibir os resultados.
      Guia Resultados da pesquisa de ameaças.
    10. Na coluna Observável, clique no ícone de informações azul ao lado de um determinado observável para obter mais informações e dados brutos.
      Tarefa: clique no símbolo de informações.
    11. Na caixa de diálogo exibida, clique em Abrir registro para exibir os dados brutos e mais detalhes.
      Como alternativa, você também pode anexar um observável existente ao registro de incidente de segurança.
    12. Opcional: Com a guia Observáveis selecionada, clique em Editar.
    13. Opcional: No formulário Editar membros exibido, mova um observável existente da Coleção para a Lista de observáveis e clique em Salvar.
      Você retornará ao incidente de segurança.
    14. Na coluna da extrema esquerda, selecione os observáveis nos quais deseja executar a pesquisa e, na lista de seleção Ações nas linhas selecionadas..., selecione Executar pesquisa de ameaça.
      Uma mensagem é exibida na parte superior do registro informando que a solicitação está sendo processada. Verifique se a pesquisa foi executada com sucesso.
    Revise as anotações de trabalho para obter mais informações e como prosseguir se você não puder verificar se a pesquisa foi executada com sucesso.