Vérifier les résultats attendus pour Hybrid Analysis

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Les observables sont générés automatiquement par un incident de sécurité et analysés par l’application. Localisez les résultats de la recherche sur l’incident de sécurité pour vérifier que la recherche de menaces a été exécutée avec succès. Affichez également les données brutes et exécutez des recherches de menaces sur les observables enfants.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et vérifiez que la recherche a été exécutée avec succès.
      Recherchez l’état dans les notes de travail.
      Une fois l’application configurée, le flux se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est ensuite affiché dans les notes de travail de l’incident de sécurité.
    2. Examinez les notes de travail pour plus d’informations sur la façon de procéder si vous ne pouvez pas vérifier que la recherche s’est correctement exécutée.
    3. Naviguez jusqu’au bas de l’enregistrement d’incident de sécurité et cliquez sur le lien connexe Afficher toutes les listes connexes pour afficher les résultats.
      Remarque :
      Les figures des étapes suivantes sont affichées avec le paramètre Formulaires à onglets actif dans les paramètres du système. Dans le coin supérieur droit de la bannière, cliquez sur l’icône d’engrenage Paramètres. Dans la boîte de dialogue Paramètres du système qui s’affiche, cliquez sur Formulaires et vérifiez que les champs Formulaires à onglets et Avec formulaire sont sélectionnés.
      Rechercher des résultats.
      L’onglet Résultats de la recherche de menace affiche les résultats de la recherche au bas de l’enregistrement d’incident de sécurité. Notez que la colonne Résultat affiche Inconnu pour les enregistrements qui n’ont pas été déterminés comme malveillants. Pour les résultats correspondant à malveillants, la colonne Résultat affiche malveillant.
    4. Dans la colonne Observable , cliquez sur un observable pour ouvrir l’enregistrement.
      Ouvrez l’enregistrement d’un observable avec le résultat et la balise de sécurité.
      Pour les recherches correspondant à malveillant, le champ Résultat affiche malveillant et l’observable est étiqueté avec la source qui l’a trouvé malveillant, dans ce Renseignements sur les menaces cas, l’intégration Hybrid Analysis .
    5. Facultatif : Suivez les étapes pour afficher les données brutes, afficher une liste des observables enfants et exécuter une recherche de menace sur les observables enfants sélectionnés.
      1. Revenez à l’incident de sécurité et, dans l’onglet Résultats de la recherche de menace , cliquez sur l’icône d’informations bleue en regard d’un observable.
        Icône d’informations sur l’enregistrement.
      2. Dans la fenêtre qui s’affiche, cliquez sur Ouvrir l’enregistrement pour afficher les données.
        À partir de tous les observables visibles dans les données brutes affichées à partir de la recherche, l’intégration Hybrid Analysis crée également des observables enfants ou connexes.
        Données brutes sur l’enregistrement de l’observable.
        Le lien créé par l’API, les données brutes et d’autres informations s’affichent.
      3. Revenez à l’incident de sécurité et cliquez sur le lien connexe Afficher IoC .
        Les observables enfants sont affichés dans l’onglet Observables enfants de l’incident de sécurité, car la recherche a trouvé un lien existant entre ces observables associés et l’observable initialement soumis.
      4. Cliquez sur le champ en regard d’un observable dans la colonne Enfant pour le sélectionner, puis sur le lien connexe Exécuter la recherche de menace pour effectuer une recherche.
        Onglet Observables enfants.
      5. Dans la boîte de dialogue qui s’affiche, vérifiez que l’intégration Hybrid Analysis est sélectionnée et cliquez sur Soumettre.
      6. Dans les notes de travail, vérifiez que la recherche a été exécutée avec succès et, dans l’onglet Résultats de la recherche de menace de l’incident de sécurité, localisez les résultats de la recherche pour les observables enfants.
    Si vous ne voyez pas de résultats sous l’onglet Résultats de la recherche de menace , vérifiez que l’observable est d’un type pris en charge pour la recherche par l’intégration.