Créer et configurer un profil pour la recherche de perceptions avec l’intégration FireEye

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Configurez le profil de recherche de perceptions en suivant la procédure suivante.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité NowPlatform (sn_si.admin)

    Chaque fois qu’une source est créée, des configurations de recherche de perceptions individuelles pour cinq types (Fichier, IP (v4), MD5, SHA1 et SHA256) sont créées et désactivées par défaut. Vous devez l’activer avant d’utiliser la recherche de perception. Chaque type d’observable a une requête de recherche différente pour récupérer des observations. Nous lancerons une recherche différente pour chaque type d’observable. La recherche de plusieurs observables pour une recherche de perception n’est pas possible dans FireEye, car elle effectuerait une opération ET sur les observables et le résultat pourrait être inexact.
    Remarque :
    Pour la recherche de perceptions, seules cinq recherches actives peuvent être présentes à la fois. Les autres seront mis en file d’attente et commenceront après la fin de l’une des observations en cours.

    Si vous souhaitez créer un nouveau profil de recherche d’observations, suivez les étapes ci-dessous pour en créer un :

    Procédure

    1. Accédez à la Intégrations > Configuration de la recherche de perceptions.
    2. Cliquer sur Nouvelle.
    3. Renseignez les champs du formulaire.
      Champ Description
      Nom Nom du profil d’aptitude.
      Est une recherche enregistrée Exécutera une recherche enregistrée, par exemple, le champ Nom doit correspondre au nom de la recherche enregistrée.
      Source de recherche de perceptions Définit la source configurée pour l’intégration.
      Rechercher Ajoutez une chaîne de recherche native pour former une requête.
      Actif La requête s’exécute uniquement si elle est active.
      Type d'observable Définit le type de catégorie d’observable.
      Nombre maximum d'observables par recherche Le nombre d'observables avant que la requête de recherche ne soit fractionnée en plusieurs requêtes. Définissez cette valeur sur 1 pour cette intégration.
      Paramètres de la recherche de perceptions Utilisez les paramètres de recherche de perceptions pour définir des requêtes plus complexes qui incluent la logique et d'autres opérateurs pris en charge par le magasin de journaux spécifié.
    4. Cliquer sur Envoyer pour terminer la configuration.