Führen Sie Suchen für erkennbare Elemente durch

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Sie können Threat Intelligence-Suchen für ein oder mehrere erkennbare Elemente durchführen, um zu bestimmen, ob sie bekannten Sicherheitsbedrohungen zugeordnet sind. Welche Implementierungen von Scans ausgeführt werden, hängt davon ab, welche Sie aktiviert haben.

    Vorbereitungen

    Bevor Sie Suchvorgänge durchführen können, müssen Sie das Plugin „Threat Intelligence“ aktivieren. Sie müssen auch das Plugin für eine oder mehrere der Scan-Implementierungen installieren:

    Erforderliche Rolle: sn_ti.write

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > IoC-Repository > Erkennbare Elemente.
    2. Führen Sie einen der folgenden Schritte aus:
      • Um eine Suche für mehr als ein erkennbares Element durchzuführen, wählen Sie die erkennbaren Elemente aus, klicken Sie auf Aktionen für ausgewählte Zeilen, und wählen Sie Suche nach Bedrohungen ausführenaus.
      • Um eine Suche für ein einzelnes erkennbares Element durchzuführen, öffnen Sie den Datensatz des erkennbaren Elements, und klicken Sie auf den zugehörigen Link Bedrohungssuche ausführen.
      Slushbucket für die Bedrohungssuche ausführen
    3. Wählen Sie die zu verwendenden Implementierungen der Bedrohungssuche aus, oder wählen Sie Alle aus, um Suchen mit allen aktiven Implementierungen durchzuführen, und klicken Sie dann auf Absenden.
      Eine Meldung gibt an, dass die Bedrohungssuchen begonnen haben. Security Operations Integration – Flow zur Bedrohungssuche wird ausgeführt und führt auch die Implementierungs-Workflows für die von Ihnen ausgewählten Implementierungen der Bedrohungssuche aus. Die Suchen werden durchgeführt, und die Ergebnisse werden generiert.
    4. Wenn die Suchen abgeschlossen sind, können Sie auf die Registerkarte Ergebnisse der Bedrohungssuche klicken, um die Ergebnisse anzuzeigen.
      Bedrohungssuche – Ergebnisse
      Aktuelles Ergebnis der Bedrohungssuche: Sie können auch die neuesten oder neuesten Ergebnisse der Bedrohungssuche von jedem Integrationsanbieter anzeigen, indem Sie auf die Registerkarte Aktuelles Ergebnis der Bedrohungssuche klicken.
      Hinweis:
      Die Registerkarte „Ergebnis der aktuellen Bedrohungssuche“ ist nicht Teil des Basissystems.
      Um diese Registerkarte zu aktivieren, gehen Sie wie folgt vor:
      1. Klicken Sie mit der rechten Maustaste auf den Formularheader.
      2. Navigieren zu Konfigurieren > Zugehörige Listen.
      3. Suchen Sie in der Liste Verfügbar nach Ergebnissen der Bedrohungssuche, und verschieben Sie sie in die Liste Ausgewählt.
      4. Klicken Sie auf Speichern.
        Sie können jetzt die neuesten Ergebnisse der Bedrohungssuche für jeden Integrationsanbieter auf der Registerkarte Aktuelles Ergebnis der Bedrohungssuche anzeigen.
        Aktuelles Ergebnis der Bedrohungssuche
    5. Um zusätzliche Details, einschließlich Rohergebnissen für eine bestimmte Suche, anzuzeigen, klicken Sie auf den Ergebniswert.
      Hinweis:
      Wenn die Implementierungen von VirusTotal oder OPSWAT Metadefender verwendet werden, werden die Details wie unten gezeigt konsolidiert.
      Details der Ergebnisse der Bedrohungssuche