Erste Schritte mit der Integration von Carbon Black - Incident Enrichment

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Carbon Black Incident-Ergänzung erleichtert die Untersuchung eines Security Incident, indem Protokolle nach potenziell schädlichen Indikatoren abgefragt werden. Bevor Sie die Integration „Carbon Black - Incident Enrichment“ verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen und die entsprechende Endpunkt-Basis-URL und den MID-Server hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Laden Sie die Integration aus dem herunter ServiceNow Store.
    2. Wenn der Download abgeschlossen ist, greifen Sie auf die Website Carbon Black zu, und rufen Sie die Endpunkt-Basis-URL und das API-Token unter Ihrem Profil ab.
    3. Navigieren Sie in Ihrer Instanz zu Security Operations > Integrationen > Integrationskonfiguration.
    4. Klicken Sie auf der Karte Carbon Black - Incident Enrichment auf Konfigurieren.
      Carbon Black Incident Enrichment
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Endpunktbasis Die Endpunkt-URL, die Sie von der Carbon Black-Website abgerufen haben.
      Link-URL Die Link-URL, die auf eine Carbon Black-Instanz verweist, sofern verfügbar.
      API-Token Das API-Token, das Sie von der Carbon Black-Website erhalten haben.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten. Der Standardwert ist 1000 Zeilen.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Binär- und Prozesssuche durchführen Wählen Sie diese Option aus, um binäre Suchen durchzuführen, um binäre Dateien wie Datei-Hashes zu finden, und Prozesssuchen nach .exe-Prozessen, die möglicherweise ausgeführt wurden.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Eigenschaft „ Anzahl der Zeilen der Rohdaten“ in Security Incident Response-Eigenschaftenab.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID Server zu verwenden, oder wählen Sie einen bestimmten MID Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie in der Dropdown-Liste Konfigurationen anzeigen die Option Nein aus.