Introduction à l’intégration Carbon Black - Enrichissement des incidents

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • L’enrichissement des incidents Carbon Black facilite l’enquête sur un incident de sécurité en interrogeant les journaux à la recherche d’indicateurs potentiellement malveillants. Avant de pouvoir utiliser l’intégration Carbon Black - Enrichissement des incidents, vous devez la télécharger à ServiceNow Store partir du et ajouter l’URL de base du point de terminaison et le serveur MID appropriés.

    Avant de commencer

    Rôle requis : sn_si_admin

    Procédure

    1. Téléchargez l’intégration à partir de ServiceNow Store.
    2. Une fois le téléchargement terminé, accédez au Carbon Black site Web et obtenez l’URL de base du point de terminaison et le jeton d’API sous votre profil.
    3. Dans votre instance, accédez à Security Operations > Intégrations > Configuration de l'intégration.
    4. Dans la fiche Carbon Black - Incident Enrichment (Noir carbone - Enrichissement d’incident), cliquez sur Configure (Configurer).
      Enrichissement des incidents Carbon Black
    5. Renseignez les champs nécessaires.
      Champ Description
      Nom Nom de cette configuration.
      Base du point de terminaison L’URL du point de terminaison que vous avez acquise à partir du site Carbon Black.
      URL de lien URL du lien qui renvoie à une instance Carbon Black, lorsqu’elle est disponible.
      Jeton d'API Le jeton d’API que vous avez acquis sur le site Carbon Black.
      Lignes max. Le nombre maximal de lignes que vous souhaitez rechercher. La valeur par défaut est de 1 000 lignes.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Effectuer une recherche binaire et de processus Sélectionnez cette option pour effectuer des recherches binaires afin de trouver des fichiers binaires, tels que des hachages de fichiers, et des recherches de processus pour .exe processus qui peuvent s’être exécutés.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des exemples de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend du paramètre que vous définissez sur le nombre de lignes de la propriété de données brutes dans les propriétés de Réponse aux incidents de sécurité.
      Serveur MID Sélectionnez N’importe lequel pour utiliser n’importe quel Serveur MID actif ou sélectionnez un nom de Serveur MID spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    6. Cliquez sur Envoyer.
      La carte de configuration de l’intégration s’affiche.
    7. Pour revenir à la liste initiale des cartes de configuration d’intégration, sélectionnez Non dans la liste déroulante Afficher les configurations .