(Optional) Hängen Sie ein erkennbares Element für manuell an Hybrid Analysis

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Sie können erkennbare Elemente manuell anhängen, wenn Sie eine Bedrohungssuche für erkennbare Elemente durchführen möchten, die beim ersten Event-Auslöser nicht an einen Security Incident angehängt sind. Sie können diese Aufgabe auch ausführen, wenn Sie weitere Informationen zu einem zugehörigen erkennbaren Element wünschen.

    Vorbereitungen

    Vergewissern Sie sich, dass das erkennbare Element von einem Typ ist, der von der Integration unterstützt wird. Die Integration führt Suchvorgänge für die folgenden Arten von erkennbaren Elementen durch:
    • Datei-Hashes
    • IP-Adressen
    • URLs
    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen und öffnen Sie einen Security Incident, an den Sie das erkennbare Element anhängen möchten.
    2. Klicken Sie im offenen Security Incident auf den Link IoC anzeigenunter Zugehörige Links.
      Registerkarte „Erkennbare Elemente“ im Incident-Datensatz
    3. Klicken Sie auf der Registerkarte Erkennbare Elemente auf Neu.
      Das Formular „Erkennbares Element“ wird angezeigt.
    4. Geben Sie im Feld Wert ein erkennbares Element ein (Datei-Hash, IP-Adressen oder URL).
    5. Klicken Sie auf das Suchsymbol, und klicken Sie im Dialogfeld „Kategorien des erkennbaren Typs“ auf den gewünschten erkennbaren Typ in der Liste, um das Feld auszufüllen.
      Kategorieliste erkennbarer Typ
    6. Klicken Sie auf Absenden.
      Der Workflow wird gestartet und sucht nach dem neuen erkennbaren Element. Der Ausführungs- und Abschlussstatus wird im Abschnitt „Arbeitsnotizen“ des Security Incident-Datensatzes angezeigt.
    7. Navigieren Sie zu Ihrem Security Incident, und überprüfen Sie die Arbeitsnotizen.
      Suchstatus in den Arbeitsnotizen.
    8. Klicken Sie unten im Datensatz auf den zugehörigen Link Alle zugehörigen Listen anzeigen.
    9. Klicken Sie auf die Registerkarte Ergebnisse der Bedrohungssuche, um die Ergebnisse anzuzeigen.
      Registerkarte „Ergebnisse der Bedrohungssuche“.
    10. Klicken Sie in der Spalte „Erkennbares Element“ auf das blaue Informationssymbol neben einem bestimmten erkennbaren Element, um weitere Informationen und Rohdaten zu erhalten.
      Aufgabe: Klicken Sie auf das Informationssymbol.
    11. Klicken Sie im angezeigten Dialogfeld auf Datensatz öffnen, um die Rohdaten und weitere Details anzuzeigen.
      Alternativ können Sie auch ein vorhandenes erkennbares Element an den Security Incident-Datensatz anhängen.
    12. Wahlweise: Klicken Sie bei ausgewählter Registerkarte Erkennbare Elemente auf Bearbeiten.
    13. Wahlweise: Verschieben Sie im angezeigten Formular „ Mitglieder bearbeiten “ ein vorhandenes erkennbares Element aus der Sammlung in die Liste der erkennbaren Elemente, und klicken Sie auf Speichern.
      Sie kehren zum Security Incident zurück.
    14. Wählen Sie in der Spalte ganz links die erkennbaren Elemente aus, für die Sie die Suche ausführen möchten, und wählen Sie in der Auswahlliste Aktionen für ausgewählte Zeilen... die Option Bedrohungssuche ausführenaus.
      Oben im Datensatz wird eine Nachricht angezeigt, die angibt, dass die Anforderung verarbeitet wird. Vergewissern Sie sich, dass die Suche erfolgreich ausgeführt wurde.
    Überprüfen Sie die Arbeitsnotizen auf weitere Informationen und Vorgehensweisen, wenn Sie nicht überprüfen können, ob die Suche erfolgreich ausgeführt wurde.