Vérifier les résultats attendus pour Hybrid Analysis

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les observables sont générés automatiquement par un incident de sécurité et analysés par l’application. Localisez les résultats de la recherche sur l’incident de sécurité pour vérifier que la recherche de menaces a été exécutée avec succès. Affichez également les données brutes et exécutez des recherches de menace sur les observables enfants.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Ouvrez l’enregistrement d’incident de sécurité que vous utilisez et vérifiez que la recherche s’est correctement exécutée.
      État de la recherche dans les notes de travail.
      Une fois l’application configurée, le workflow se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est ensuite affiché dans les notes de travail de l’incident de sécurité.
    2. Consultez les notes de travail pour plus d’informations sur la procédure à suivre si vous ne pouvez pas vérifier que la recherche s’est exécutée correctement.
    3. Naviguez jusqu’en bas de l’enregistrement d’incident de sécurité et cliquez sur le lien connexe Afficher toutes les listes connexes pour afficher les résultats.
      Remarque :
      Les chiffres des étapes suivantes sont affichés avec le paramètre Formulaires à onglets actif dans les paramètres système. Dans le coin supérieur droit de la bannière, cliquez sur l’icône d’engrenage Paramètres. Dans la boîte de dialogue Paramètres du système qui s’affiche, cliquez sur Formulaires et vérifiez que les options Onglets et Avec le formulaire sont sélectionnées.
      Rechercher des résultats.
      L’onglet Résultats de la recherche de menace affiche les résultats de la recherche au bas de l’enregistrement d’incident de sécurité. Remarque : la colonne Résultat affiche Inconnu pour les enregistrements dont la malveillance n’a pas été déterminée. Pour les résultats correspondant à malveillant, la colonne Résultat affiche malveillant.
    4. Dans la colonne Observable , cliquez sur un observable pour ouvrir l’enregistrement.
      Ouvrez l’enregistrement observable avec le résultat et la balise de sécurité.
      Pour les recherches correspondant à malveillant, le champ Résultat affiche Malveillant et l’observable est balisé avec la Renseignements sur les menaces source qui l’a trouvé malveillant ; dans ce cas, l’intégration Hybrid Analysis .
    5. Facultatif : Suivez les étapes pour afficher les données brutes, afficher une liste des observables enfants et exécuter une recherche de menace sur les observables enfants sélectionnés.
      1. Revenez à l’incident de sécurité puis, dans l’onglet Résultats de la recherche de menaces , cliquez sur l’icône d’information bleue en regard d’un observable.
        Icône d’informations sur l’enregistrement.
      2. Dans la fenêtre qui s’affiche, cliquez sur Ouvrir l’enregistrement pour afficher les données.
        À partir de tous les observables visibles dans les données brutes affichées à partir de la recherche, l’intégration Hybrid Analysis crée également des observables enfants ou connexes.
        Données brutes sur l’enregistrement observable.
        Le lien créé par l’API, les données brutes et d’autres informations s’affichent.
      3. Revenez à l’incident de sécurité et cliquez sur le lien connexe Afficher l’IoC .
        Les observables enfants sont affichés dans l’onglet Observables enfants de l’incident de sécurité, car la recherche a trouvé un lien existant entre ces observables associés et l’observable initialement soumis.
      4. Cliquez sur le champ en regard d’un observable dans la colonne Enfant pour le sélectionner, suivi du lien connexe Exécuter la recherche de menace pour effectuer une recherche.
        Onglet Observables enfants.
      5. Dans la boîte de dialogue qui s’affiche, vérifiez que l’intégration Hybrid Analysis est sélectionnée et cliquez sur Soumettre.
      6. Dans les notes de travail, vérifiez que la recherche s’est correctement exécutée et, dans l’onglet Résultats de la recherche de menace de l’incident de sécurité, localisez les résultats de la recherche pour les observables enfants.
    Si vous ne voyez pas de résultats sous l’onglet Résultats de la recherche de menace , vérifiez que l’observable est d’un type pris en charge pour la recherche par l’intégration.