Lancer la recherche pour Reverse Whois

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Initiez des recherches de domaine à l’aide de termes de recherche dans les observables que vous joignez manuellement à un enregistrement d’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. S’il n’est pas ouvert, accédez à Incident de sécurité > Incidents > Afficher tous les incidents et ouvrez l’incident de sécurité sur lequel vous travaillez.
    2. En bas de l’enregistrement, cliquez sur le lien connexe Afficher l’IoC pour afficher l’onglet Observables.
      Remarque :
      Les chiffres des étapes suivantes sont affichés avec le paramètre Formulaires à onglets actif dans les paramètres système. si aucun onglet n’apparaît sur l’incident de sécurité, cliquez sur l’icône d’engrenage Paramètres dans le coin supérieur droit de la bannière. Dans la boîte de dialogue Paramètres du système qui s’affiche, cliquez sur Formulaires et vérifiez que les options Onglets et Avec le formulaire sont sélectionnées.
      Onglet Observables du formulaire d’incident de sécurité.
    3. Dans l’onglet Observables, cliquez sur Nouveau.
    4. Renseignez les champs.
      Tableau 1. Champs obligatoires sur le nouvel enregistrement
      Champ Description
      Valeur Terme de recherche unique pour un domaine.
      Type d'observable Ce champ est automatiquement effacé.
      Résultat Ce champ est automatiquement défini sur Inconnu.
      Champs obligatoires sur le nouvel enregistrement observable.
    5. Cliquez sur Envoyer.
      Vous êtes renvoyé à l’enregistrement d’incident de sécurité et le workflow lance la recherche.

    Que faire ensuite

    Vérifiez les résultats de la recherche sur l’incident de sécurité. Consultez Vérifier les résultats attendus pour Reverse Whois.