Exécuter une recherche de perception

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Déterminez la prévalence d’une menace dans le temps ou testez les efforts de correction ou d’éradication. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates de votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans la liste connexe des observables de l’incident de sécurité .

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’option Recherche de perception comporte un flux, Intégration de Security Operations : flux de recherche de perceptions, qui exécute la recherche de perception. Ce flux accepte une liste d’observables, trouve toutes les fonctionnalités d’implémentation, crée les requêtes en fonction des configurations de recherche de perceptions et exécute les recherches en fonction du flux configuré.
    Remarque :
    Une implémentation active doit être configurée. Recherche de perception prend en charge Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger et l’enrichissement des incidents QRadar. Si aucune implémentation n’est disponible, les actions d’aptitude, telles que Exécuter la recherche de perception, ne sont pas affichées dans les menus de produit.

    Procédure

    1. Accédez à un incident de sécurité.
    2. Sélectionnez le lien connexe Afficher l’IoC .
    3. Sélectionnez des observables dans l’onglet Liste connexe.
    4. Sélectionnez les observables sur lesquels vous souhaitez effectuer une recherche d’observations.
    5. Sélectionnez Exécuter la recherche de perception dans le menu déroulant Actions sur les lignes sélectionnées...
      La boîte de dialogue Exécuter la recherche de perception s’ouvre.
      Remarque :
      Les valeurs saisies dans la boîte de dialogue remplacent les valeurs de configuration d’aptitude pour cette exécution.
    6. Choisissez le nombre de jours ou une plage de dates pour rechercher des données.
      OptionDescription
      Dernier Nombre d’heures ou de jours avant la création de l’incident à rechercher.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont les suivantes :
      • Date et heure auxquelles l’incident a été ouvert.
      • Date et heure sept jours avant le début de l’incident.
      Remarque :
      Le dernier est le nombre d’heures ou de jours avant la création de l’incident à rechercher. La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
    7. Sélectionnez Rechercher.
      Un enregistrement Recherche de perception est créé. L’agrégat et les données de perception associées sont affichés dans l’incident de sécurité sous les onglets Résultats de recherche de perception et Détails de recherche de perception .
      Remarque :
      Les données des résultats de recherche de perceptions peuvent être partagées avec Trusted Security Circle, à l’exception des données brutes dans le cas des implémentations configurées pour inclure des données brutes.
      Tableau 1. Résultats de recherche de perceptions
      Résultat Description
      Numéro L’identificateur de la recherche de perceptions.
      Nombre d'observables Nombre d’observables recherchés par requête.
      Perceptions internes Nombre d’observations internes.
      Perceptions externes Nombre de perceptions externes. (Reçu du partage de menaces.)
      Éléments de configuration correspondants Nombre d’éléments de configuration qui correspondaient à un enregistrement existant dans votre CMDB pour chaque observable trouvé dans votre environnement.
      Plage de dates de démarrage Il est temps de commencer à chercher des observations.
      Plage de dates de fin Il est temps d’arrêter de chercher des observations.
      Mis à jour Date et heure de la dernière modification.
      Remarque :
      Si l’implémentation utilisée pour la recherche de perceptions est configurée pour inclure des données brutes et qu’au moins une observation est trouvée, une pièce jointe contenant des échantillons de données brutes apparaît en haut de l’incident de sécurité.
      Tableau 2. Détails de la recherche de perception
      Détail Description
      Recherche de perception L’identificateur de la recherche de perceptions.
      Observable Observable recherché par requête.
      Type d'observable Type d’observable recherché par requête.
      Perceptions internes Nombre agrégé de perceptions internes.
      Perceptions externes Nombre agrégé de perceptions externes. (Reçu du partage de menaces.)
      Mis à jour Date et heure de la dernière modification.