Überprüfen Sie die erwarteten Ergebnisse für Hybrid-Analyse

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Erkennbare Elemente werden automatisch von einem Security Incident generiert und von der Anwendung gescannt. Suchen Sie die Suchergebnisse im Security Incident, um zu überprüfen, ob die Bedrohungssuche erfolgreich ausgeführt wurde. Zeigen Sie auch Rohdaten an, und führen Sie Bedrohungssuchen für untergeordnete erkennbare Elemente aus.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Öffnen Sie den Security Incident-Datensatz, mit dem Sie arbeiten, und vergewissern Sie sich, dass die Suche erfolgreich ausgeführt wurde.
      Suchstatus in den Arbeitsnotizen.
      Nachdem die Anwendung konfiguriert wurde, wird der Flow bei der Erstellung des incident automatisch gestartet. Der Ausführungs- und Abschlussstatus der Suche wird dann in den Arbeitsnotizen im Security Incident angezeigt.
    2. Überprüfen Sie die Arbeitsnotizen auf weitere Informationen zum Vorgehen, wenn Sie nicht überprüfen können, ob die Suche erfolgreich ausgeführt wurde.
    3. Navigieren Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf den zugehörigen Link Alle zugehörigen Listen anzeigen, um die Ergebnisse anzuzeigen.
      Hinweis:
      Die Abbildungen in den folgenden Schritten werden mit aktivierter Einstellung für Formulare mit Registerkarten in den Systemeinstellungen angezeigt. Klicken Sie in der oberen rechten Ecke des Bannerframes auf das Zahnradsymbol Einstellungen. Klicken Sie im angezeigten Dialogfeld „ Systemeinstellungen “ auf Formulare, und vergewissern Sie sich, dass Formulare mit Registerkarten und Mit Formular ausgewählt sind.
      Suchergebnisse.
      Auf der Registerkarte Ergebnisse der Bedrohungssuche werden die Suchergebnisse am Ende des Security Incident-Datensatzes angezeigt. Beachten Sie, dass in der Spalte „Ergebnis“ für Datensätze, die nicht als schädlich eingestuft wurden, Unbekannt angezeigt wird. Bei Ergebnissen, die mit „böswillig“ übereinstimmen, zeigt die Spalte „Ergebnisergebnis“ Böswilligan.
    4. Klicken Sie in der Spalte Erkennbares Element auf ein erkennbares Element, um den Datensatz zu öffnen.
      Öffnen Sie den Datensatz des erkennbaren Elements mit dem Ergebnis- und Sicherheits-Tag.
      Bei Suchen nach schädlichen Elementen wird im Feld Ergebnis der Wert Böswilligangezeigt, und das erkennbare Element wird mit der Quelle Threat Intelligence getaggt, die es für schädlich befunden hat, in diesem Fall die Hybrid-Analyse -Integration.
    5. Wahlweise: Führen Sie die Schritte aus, um Rohdaten anzuzeigen, eine Liste untergeordneter erkennbarer Elemente anzuzeigen und eine Bedrohungssuche für ausgewählte untergeordnete erkennbare Elemente auszuführen.
      1. Navigieren Sie zurück zum Security Incident, und klicken Sie auf der Registerkarte Ergebnisse der Bedrohungssuche auf das blaue Informationssymbol neben einem erkennbaren Element.
        Informationssymbol im Datensatz.
      2. Klicken Sie im angezeigten Fenster auf Datensatz öffnen, um die Daten anzuzeigen.
        Aus allen erkennbaren Elementen, die in den von der Suche angezeigten Rohdaten sichtbar sind, erstellt die Integration Hybrid-Analyse auch untergeordnete oder zugehörige erkennbare Elemente.
        Rohdaten zum Datensatz des erkennbaren Elements.
        Der von der API erstellte Link, die Rohdaten und andere Informationen werden angezeigt.
      3. Navigieren Sie zurück zum Security Incident, und klicken Sie auf den zugehörigen Link IoC anzeigen.
        Die untergeordneten erkennbaren Elemente werden auf der Registerkarte „ Untergeordnete erkennbare Elemente“ des Security Incident angezeigt, da bei der Suche eine Verbindung zwischen diesen zugehörigen erkennbaren Elementen und dem ursprünglich übermittelten erkennbaren Element gefunden wurde.
      4. Klicken Sie auf das Feld neben einem erkennbaren Element in der Spalte Untergeordnetes Element, um es auszuwählen, und anschließend auf den zugehörigen Link Bedrohungssuche ausführen, um eine Suche durchzuführen.
        Registerkarte „Untergeordnete erkennbare Elemente“.
      5. Stellen Sie im angezeigten Dialogfeld sicher, dass die Integration Hybrid-Analyse ausgewählt ist, und klicken Sie auf Absenden.
      6. Überprüfen Sie in den Arbeitsnotizen, ob die Suche erfolgreich ausgeführt wurde, und suchen Sie auf der Registerkarte „Ergebnisse der Bedrohungssuche“ im Security Incident die Suchergebnisse für die untergeordneten erkennbaren Elemente.
    Wenn auf der Registerkarte Ergebnisse der Bedrohungssuche keine Ergebnisse angezeigt werden, vergewissern Sie sich, dass das erkennbare Element ein Typ ist, der von der Integration für die Suche unterstützt wird.