(Optional) Fügen Sie manuell ein erkennbares Element für hinzu Hybrid-Analyse

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Sie können erkennbare Elemente manuell anhängen, wenn Sie Bedrohungssuchen für erkennbare Elemente durchführen möchten, die beim ersten Ereignisauslöser nicht an einen Security Incident angehängt sind. Außerdem können Sie diese Aufgabe ausführen, wenn Sie weitere Informationen zu einem zugehörigen erkennbaren Element wünschen.

    Vorbereitungen

    Stellen Sie sicher, dass das erkennbare Element einen von der Integration unterstützten Typ aufweist. Die -Integration führt Suchen für die folgenden Arten von erkennbaren Elementen durch:
    • Datei-Hashes
    • IP-Adressen
    • URLs
    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen und öffnen Sie einen Security Incident, an den Sie das erkennbare Element anhängen möchten.
    2. Klicken Sie im offenen Security Incident auf den Link IoC anzeigenunter Zugehörige Links.
      Registerkarte Erkennbare Elemente im Incident-Datensatz.
    3. Klicken Sie auf der Registerkarte Erkennbare Elemente auf Neu.
      Das Formular „Erkennbares Element“ wird angezeigt.
    4. Geben Sie im Feld Wert ein erkennbares Element ein (Datei-Hash, IP-Adressen oder URL).
    5. Klicken Sie auf das Suchsymbol, und klicken Sie im Dialogfeld „Kategorien erkennbarer Elemente“ in der Liste auf den Typ des gewünschten erkennbaren Elements, um das Feld auszufüllen.
      Liste mit Typkategorie für erkennbare Elemente.
    6. Klicken Sie auf Absenden.
      Der Flow wird gestartet und sucht nach dem neuen erkennbaren Element. Der Ausführungs- und Abschlussstatus werden im Abschnitt „Arbeitsnotizen“ des Security Incident-Datensatzes angezeigt.
    7. Navigieren Sie zu Ihrem Security Incident, und überprüfen Sie die Arbeitsnotizen.
      Suchstatus in den Arbeitsnotizen.
    8. Klicken Sie unten im Datensatz auf den zugehörigen Link Alle zugehörigen Listen anzeigen.
    9. Klicken Sie auf die Registerkarte Ergebnisse der Bedrohungssuche, um die Ergebnisse anzuzeigen.
      Registerkarte „Ergebnisse der Bedrohungssuche“.
    10. Klicken Sie in der Spalte „Erkennbares Element“ auf das blaue Informationssymbol neben einem bestimmten erkennbaren Element, um weitere Informationen und Rohdaten zu erhalten.
      Aufgabe: Klicken Sie auf das Informationssymbol.
    11. Klicken Sie im angezeigten Dialogfeld auf Datensatz öffnen, um die Rohdaten und weitere Details anzuzeigen.
      Alternativ können Sie auch ein vorhandenes erkennbares Element an den Security Incident-Datensatz anhängen.
    12. Wahlweise: Klicken Sie bei ausgewählter Registerkarte Erkennbare Elemente auf Bearbeiten.
    13. Wahlweise: Verschieben Sie im angezeigten Formular „ Mitglieder bearbeiten “ ein vorhandenes erkennbares Element aus Sammlung in Liste erkennbarer Elemente, und klicken Sie auf Speichern.
      Sie kehren zum Security Incident zurück.
    14. Wählen Sie in der Spalte ganz links die erkennbaren Elemente aus, für die Sie die Suche ausführen möchten, und wählen Sie in der Auswahlliste Aktionen für ausgewählte Zeilen... die Option Bedrohungssuche ausführenaus.
      Oben im Datensatz wird eine Meldung angezeigt, dass die Anforderung verarbeitet wird. Vergewissern Sie sich, dass die Suche erfolgreich ausgeführt wurde.
    Überprüfen Sie die Arbeitsnotizen auf weitere Informationen und Vorgehensweise, wenn Sie nicht überprüfen können, ob die Suche erfolgreich ausgeführt wurde.