Créer et configurer un profil pour la recherche d’observations avec l’intégration FireEye

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Configurez le profil de recherche d’observations à l’aide de la procédure suivante.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité NowPlatform (sn_si.admin)

    Chaque fois qu’une source est créée, des configurations de recherche d’observations individuelles pour cinq types (Fichier, IP (v4), MD5, SHA1 et SHA256) seront créées et inactives par défaut. Vous devez l’activer avant d’utiliser la recherche de perception. Chaque type d’observable a une requête de recherche différente pour récupérer les observations. Nous lancerions une recherche différente pour chaque type d’observable. Il n’est pas possible de rechercher plusieurs observables pour une recherche d’observation dans FireEye, car elle effectuerait une opération ET sur les observables, ce qui pourrait entraîner des inexactitudes.
    Remarque :
    Pour la recherche d’observations, seules cinq recherches actives peuvent être présentes à la fois. Les observations restantes seront mises en file d’attente et commenceront après la fin de l’une des observations en cours.

    Si vous souhaitez créer un nouveau profil de recherche d’observations, suivez les étapes ci-dessous pour en créer un :

    Procédure

    1. Accédez à la Intégrations > Configuration de la recherche de perceptions.
    2. Cliquer sur Nouveau.
    3. Renseignez les champs du formulaire.
      Champ Description
      Nom Nom du profil d’aptitude.
      Est une recherche enregistrée Exécutera une recherche enregistrée, par exemple, le champ Nom doit correspondre au nom de la recherche enregistrée.
      Source de recherche de perceptions Définit la source configurée pour l’intégration.
      Rechercher Ajoutez une chaîne de recherche native pour former une requête.
      Actif La requête ne s’exécutera que si elle est active.
      Type d'observable Définit le type de catégorie de l’observable.
      Nombre maximum d'observables par recherche Le nombre d'observables avant que la requête de recherche ne soit fractionnée en plusieurs requêtes. Définissez cette valeur sur 1 pour cette intégration.
      Paramètres de la recherche de perceptions Utilisez les paramètres de recherche de perceptions pour définir des requêtes plus complexes qui incluent la logique et d'autres opérateurs pris en charge par le magasin de journaux spécifié.
    4. Cliquer sur Envoyer pour terminer la configuration.