Führen Sie eine Bedrohungsanreicherung für erkennbare Elemente durch

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Sie können die Threat Intelligence-Anreicherung für ein oder mehrere erkennbare Elemente durchführen, um zu bestimmen, ob sie bekannten Sicherheitsbedrohungen zugeordnet sind. Welche Implementierungen ausgeführt werden, hängt von denen ab, die Sie aktiviert haben.

    Vorbereitungen

    Bevor Sie eine Ergänzung durchführen können, müssen Sie das Plugin „Threat Intelligence“ aktivieren. Sie müssen das Plugin auch für eine oder mehrere Ergänzungsimplementierungen installieren:

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > IoC-Repository > Erkennbare Elementean.
    2. Führen Sie einen der folgenden Schritte aus:
      • Um eine Suche für mehr als ein erkennbares Element durchzuführen, wählen Sie die erkennbaren Elemente aus, klicken Sie auf Aktionen für ausgewählte Zeilen, und wählen Sie Suche nach Bedrohungen ausführenaus.
      • Um eine Suche für ein einzelnes erkennbares Element durchzuführen, öffnen Sie den Datensatz des erkennbaren Elements, und klicken Sie auf den zugehörigen Link Bedrohungssuche ausführen.
      Slushbucket für die Bedrohungssuche ausführen
    3. Wählen Sie die zu verwendenden Implementierungen der Bedrohungssuche aus, oder wählen Sie Alle aus, um Suchen mit allen aktiven Implementierungen durchzuführen, und klicken Sie dann auf Absenden.
      Eine Meldung gibt an, dass die Bedrohungssuchen begonnen haben. Security Operations Integration – Workflow für die Bedrohungssuche wird ausgeführt und führt auch die Implementierungs-Workflows für die von Ihnen ausgewählten Implementierungen der Bedrohungssuche aus. Die Suchen werden durchgeführt, und die Ergebnisse werden generiert.
    4. Wenn die Suchen abgeschlossen sind, können Sie auf die Registerkarte Ergebnisse der Bedrohungssuche klicken, um die Ergebnisse anzuzeigen.
      Ergebnisse der Bedrohungssuche
    5. Um zusätzliche Details, einschließlich Rohergebnissen für eine bestimmte Suche, anzuzeigen, klicken Sie auf den Ergebniswert.
      Hinweis:
      Wenn die Implementierungen von VirusTotal oder OPSWAT Metadefender verwendet werden, werden die Details wie unten gezeigt konsolidiert.
      Details der Ergebnisse der Bedrohungssuche