Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche mit der FireEye-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Konfigurieren Sie das Sichtungssuchprofil mit dem folgenden Verfahren.

    Vorbereitungen

    Erforderliche Rolle: Now Platform Security Incident Administrator (sn_si. admin)

    Wenn eine Quelle erstellt wird, werden individuelle Sichtungssuchkonfigurationen für fünf Typen (Datei, IPs (v4), MD5, SHA1 und SHA256) erstellt und standardmäßig deaktiviert. Sie sollten die Option aktivieren, bevor Sie die Sichtungssuche verwenden. Jeder erkennbare Elementtyp hat eine andere Suchabfrage, um Sichtungen abzurufen. Wir würden für jeden erkennbaren Elementtyp eine andere Suche initiieren. Die Suche nach mehreren erkennbaren Elementen für eine Sichtungssuche ist in FireEye nicht möglich, da dies eine UND-Operation für die erkennbaren Elemente ausführen würde und das Ergebnis möglicherweise ungenau ist.
    Hinweis:
    Für die Sichtungssuche können nur fünf aktive Suchen gleichzeitig vorhanden sein. Die verbleibenden werden in die Warteschlange gestellt und beginnen nach Abschluss einer der laufenden Sichtungen.

    Wenn Sie ein neues Sichtungssuchprofil erstellen möchten, führen Sie die folgenden Schritte aus, um eines zu erstellen:

    Prozedur

    1. Navigieren zu Integrationen > Sichtungssuche – Konfiguration.
    2. Klicken Neu.
    3. Füllen Sie die Felder im Formular aus.
      Feld Beschreibung
      Name Name des Fähigkeitsprofils.
      Ist gespeicherte Suche Dadurch wird eine gespeicherte Suche ausgeführt, d. h. das Feld „Name“ muss mit dem Namen der gespeicherten Suche übereinstimmen.
      Sichtungssuchquelle Definiert die für die Integration konfigurierte Quelle.
      Suchen Fügen Sie eine native Suchzeichenfolge hinzu, um eine Abfrage zu bilden.
      Aktiv Abfrage wird nur ausgeführt, wenn sie aktiv ist.
      Erkennbarer Typ Definiert den Typ der Kategorie des erkennbaren Elements.
      Maximale erkennbare Elemente pro Suche Die Anzahl der erkennbaren Elemente bevor die Suchabfrage in mehrere Abfragen aufgeteilt wird. Legen Sie diesen Wert für diese Integration auf 1 fest.
      Sichtungssuchparameter Verwenden Sie Sichtungssuchparameter, um komplexere Abfragen zu definieren, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden.
    4. Klicken Absenden um die Konfiguration abzuschließen.