Configurer la recherche de perception

  • Rversion finale: Australia
  • Mis à jour 22 avr. 2026
  • 2 minutes de lecture

    • Configurez l’intégration de la recherche de perceptions pour rechercher un ou plusieurs observables dans les journaux de votre organisation afin de déterminer le nombre d’apparitions de chaque observable, dans une plage de dates ou un nombre de jours spécifié.

    Avant de commencer

    Important :
    Les intégrations d’enrichissement s’affichent uniquement si au moins une intégration d’enrichissement est installée et active.
    Prend Centre de sécurité des renseignements sur les menaces en charge la recherche de perception pour les intégrations suivantes uniquement :
    • Splunk Rechercher
    • Elasticsearch

    Rôle requis : sn_sec_tisc.admin

    Remarque :
    La section Recherche de perception répertorie les intégrations du type de recherche de perception. Chaque intégration configurée s’affiche sous forme de carte, que vous pouvez activer ou désactiver.

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Sélectionnez l’icône Intégrations .
      Page de recherche de perception affichant trois cartes d’intégration d’enrichissement activées : deux intégrations Splunk et une intégration Elasticsearch, chacune avec un horodatage de la dernière modification et un bouton Afficher.
    3. Sélectionnez l’action Configurer un nouvel enrichissement .
      Une boîte de dialogue affiche les intégrations disponibles. Vous devez sélectionner l’intégration que vous souhaitez configurer.
    4. Sélectionnez une intégration dans la liste des intégrations disponibles.
      La page Configurer un nouvel enrichissement pour l’intégration sélectionnée s’ouvre. Cette page est préremplie avec les détails de l’intégration sélectionnée par défaut. Par exemple, Splunk intégration.

      Créez un formulaire d’intégration d’enrichissement avec le nom du fournisseur défini sur Splunk, le type d’intégration défini sur Recherche de perceptions et la section Configuration de l’intégration visible.

    5. Renseignez les champs du formulaire Créer une intégration.
      Tableau 1. Formulaire Créer une intégration
      Champ Description
      Intégration de l'enrichissement
      Nom Nom de la nouvelle intégration d’enrichissement. Par exemple, Splunk-1.
      Nom du fournisseur Nom du fournisseur.
      Remarque :
      Les détails du fournisseur sélectionné sont préremplis par défaut. Par exemple, Splunk.
      Type d'intégration Type de l’intégration sélectionnée.
      Remarque :
      Ce champ est automatiquement défini sur Recherche de perception et prérempli par défaut.
      Description Description unique de la nouvelle intégration d’enrichissement.
      Créez un formulaire d’intégration d’enrichissement avec le nom du fournisseur défini sur Splunk et le type d’intégration défini sur Recherche de perception.
    6. Dans la section Configuration de l’intégration , configurez les détails de l’intégration en fonction de vos besoins.
      La section Configuration d’intégration comprend des détails de configuration tels que la clé API, L’ID ou le secret client API, LE NOM D’UTILISATEUR ET LE MOT DE PASSE. Les détails requis varient en fonction de l’intégration.
    7. Sélectionnez Enregistrer pour créer la configuration de l’intégration d’enrichissement.
      Les détails fournis sont validés et l’intégration de l’enrichissement est inactive par défaut.
    8. Sélectionnez Enregistrer comme brouillon pour enregistrer la configuration d’enrichissement comme inactive.

      Vous pouvez l’activer ultérieurement.

      Remarque :
      Si vous n’êtes pas sûr des détails de la configuration, sélectionnez Enregistrer comme brouillon. Une fois que vous avez obtenu les détails requis, ouvrez le brouillon et saisissez les informations restantes, puis sélectionnez Enregistrer pour activer l’intégration.
    9. Sélectionnez Activer pour activer l’intégration de l’enrichissement.
      L’intégration de l’enrichissement est activée. Vous pouvez également activer une intégration d’enrichissement particulière à partir des actions de la vignette d’intégration du catalogue.