Configurar pesquisa de ameaças

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Você pode configurar a pesquisa de ameaças para realizar uma pesquisa em observáveis selecionados. Se os observáveis forem de um tipo reconhecido pela Inteligência contra ameaças, os observáveis serão verificados quanto a malware e os resultados serão retornados. Você pode executar a pesquisa de ameaças em um ou mais observáveis para determinar a mal-intendência de um observável.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Nota:
    O módulo Integrações de aprimoramento só será mostrado se pelo menos uma das integrações que oferecem suporte a qualquer uma das capacidades estiver instalada na aplicação.
    O Central de segurança de inteligência contra ameaças é compatível com a pesquisa de ameaças somente para as seguintes integrações:
    • VirusTotal
    • Inteligência do CrowdStrike
    Para obter mais informações, consulte Pesquisa de ameaças.

    Por Que e Quando Desempenhar Esta Tarefa

    A seção Pesquisa de ameaças contém somente as integrações com o tipo de integração como pesquisa de ameaças.

    Esta seção exibe cartões para cada uma das implementações de integração configuradas que você pode ativar e usar.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique no ícone Integrações e selecione a seção Pesquisa de ameaças.
      Integrações de pesquisa de ameaças
    3. Clique na ação Configurar nova enriquecimento.
      Isso leva você ao pop-up que exibe as integrações disponíveis. Você precisa escolher a integração que precisa configurar.
    4. Selecione e integração na lista de integrações disponíveis e clique em Selecionar.
      Isso leva você para a página Criar nova integração de aprimoramento da integração selecionada. Esta página é preenchida previamente com detalhes da integração selecionada por padrão. Por exemplo, integração VirusTotal.

      Selecione e integração na lista de integrações disponíveis

    5. No formulário Criar nova integração, preencha os campos.
      CampoDescrição
      Nome Insira um nome para a nova integração de aprimoramento. Por exemplo, VirusTotal-1.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos previamente por padrão. Por exemplo, VirusTotal.
      Tipo de Integração Tipo de integração que você selecionou, que é Pesquisa de ameaças. Os detalhes do tipo de integração selecionado são preenchidos previamente por padrão.
      Descrição Insira uma descrição exclusiva para a nova integração de aprimoramento.
      Criar novo formulário de integração de aprimoramento
    6. Na seção Configuração de integração, configure os detalhes da integração com base em seus requisitos.
      A seção Configuração de integração inclui detalhes de configuração, como chave de API, ID ou segredo do cliente de API, nome de usuário, senha e assim por diante, que você precisa preencher. Esses detalhes de configuração variam para diferentes apps.
    7. Clique na ação Salvar para armazenar e criar a nova configuração de integração de aprimoramento.
      Os detalhes fornecidos são validados e, por padrão, o status da integração de aprimoramento está desabilitado.
    8. Clique em Salvar como ação de rascunho para armazenar somente as atualizações feitas na configuração de aprimoramento e não criá-las.
      Se você não tiver certeza sobre os detalhes da configuração, poderá usar a opção Salvar como rascunho. Depois de obter os detalhes da configuração, você pode preencher as informações restantes na versão de rascunho e criá-la.
    9. Para habilitar a integração de aprimoramento, clique em Habilitar.
      A integração de aprimoramento foi habilitada com sucesso. Você também pode habilitar, desabilitar ou excluir uma integração de aprimoramento específica usando o menu Ações do bloco de integração necessário na página Catálogo ou na página Integrações de aprimoramento.