Vérifier les résultats attendus pour Hybrid Analysis

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Les observables sont générés automatiquement par un incident de sécurité et analysés par l’application. Localisez les résultats de la recherche sur l’incident de sécurité pour vérifier que la recherche de menaces a été exécutée avec succès. Affichez également les données brutes et exécutez des recherches de menaces sur les observables enfants.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Ouvrez l’enregistrement d’incident de sécurité avec lequel vous travaillez et vérifiez que la recherche a été exécutée avec succès.
      Recherchez l’état dans les notes de travail.
      Une fois l’application configurée, le flux se lance automatiquement lors de la création de l’incident. L’état d’exécution et d’achèvement de la recherche est ensuite affiché dans les notes de travail de l’incident de sécurité.
    2. Passez en revue les notes de travail pour en savoir plus sur la façon de procéder si vous ne pouvez pas vérifier que la recherche a été effectuée avec succès.
    3. Accédez au bas de l’enregistrement d’incident de sécurité et cliquez sur le lien connexe Afficher toutes les listes connexes pour afficher les résultats.
      Remarque :
      Les figures des étapes suivantes sont affichées avec le paramètre Formulaires à onglets actif dans les paramètres système. Dans le coin supérieur droit de la bannière, cliquez sur l’icône d’engrenage Paramètres. Dans la boîte de dialogue Paramètres système qui s’affiche, cliquez sur Formulaires et vérifiez que Formulaires à onglets et Avec le formulaire sont sélectionnés.
      Rechercher des résultats.
      L’onglet Résultats de la recherche de menace affiche les résultats de la recherche au bas de l’enregistrement d’incident de sécurité. Notez que la colonne Recherche affiche Inconnu pour les enregistrements qui ne sont pas déterminés comme malveillants. Pour les résultats correspondant à malveillant, la colonne Recherche affiche malveillant.
    4. Dans la colonne Observable , cliquez sur un observable pour ouvrir l’enregistrement.
      Ouvrez l’enregistrement de l’observable avec la balise de sécurité et de résultat.
      Pour les recherches correspondantes malveillantes, le champ Recherche affiche Malveillant et l’observable est étiqueté avec la Renseignements sur les menaces source qui l’a trouvé malveillant, dans ce cas, l’intégration Hybrid Analysis .
    5. Facultatif : Suivez les étapes pour afficher les données brutes, afficher une liste d’observables enfants et exécuter une recherche de menace sur les observables enfants sélectionnés.
      1. Revenez à l’incident de sécurité et, dans l’onglet Résultats de la recherche de menace, cliquez sur l’icône d’informations bleues en regard d’un observable.
        Icône d’informations sur l’enregistrement.
      2. Dans la fenêtre qui s’affiche, cliquez sur Ouvrir l’enregistrement pour afficher les données.
        À partir de tous les observables visibles dans les données brutes affichées à partir de la recherche, l’intégration Hybrid Analysis crée également des observables enfants ou connexes.
        Données brutes sur l’enregistrement de l’observable.
        Le lien créé par l’API, les données brutes et les autres informations s’affichent.
      3. Revenez à l’incident de sécurité et cliquez sur le lien connexe Afficher l’IoC .
        Les observables enfants sont affichés dans l’onglet Observables enfants de l’incident de sécurité, car la recherche a trouvé un lien existant entre ces observables connexes et l’observable initialement soumis.
      4. Cliquez sur le champ en regard d’un observable dans la colonne Enfant pour le sélectionner, puis sur le lien connexe Exécuter une recherche de menace pour effectuer une recherche.
        Onglet Observables enfants.
      5. Dans la boîte de dialogue qui s’affiche, vérifiez que l’intégration Hybrid Analysis est sélectionnée, puis cliquez sur Soumettre.
      6. Dans les notes de travail, vérifiez que la recherche a été exécutée avec succès et, dans l’onglet Résultats de la recherche de menace de l’incident de sécurité, localisez les résultats de la recherche pour les observables enfants.
    Si vous ne voyez pas de résultats sous l’onglet Résultats de la recherche de menace , vérifiez que l’observable est d’un type pris en charge pour la recherche par l’intégration.