FireEye Integration으로 사이팅 검색을 위한 프로파일 생성 및 구성

릴리스 버전: Washingtondc

업데이트 날짜 2024년 02월 01일

읽기1분

다음 절차에 따라 사이팅 검색 프로파일을 구성합니다.

시작하기 전에

필요한 역할: NowPlatform Security 인시던트 관리자(sn_si.admin)

소스가 생성될 때마다 5가지 유형(파일, IP(v4), MD5, SHA1 및 SHA256)에 대한 개별 사이팅 검색 구성이 생성되고 기본적으로 비활성화됩니다. 사이팅 검색을 사용하기 전에 활성화해야 합니다. 각 옵저버블 유형에는 사이팅을 검색하기 위한 검색 쿼리가 다릅니다. 각 옵저버블 유형에 대해 다른 검색을 시작합니다. 관찰 가능 항목에 대해 AND 연산을 수행하고 결과가 정확하지 않을 수 있으므로 FireEye에서는 사이팅 검색을 위한 다중 옵저버블 검색이 불가능합니다.

주:

관찰 검색의 경우 활성 검색은 한 번에 5개만 존재할 수 있습니다. 나머지는 대기열에 있으며 진행 중인 목격 중 하나가 완료된 후 시작됩니다.

새 사이팅 검색 프로필을 만들려면 아래 단계에 따라 프로필을 만듭니다.

프로시저

다음으로 이동 통합 > 사이팅 검색 구성레이블이 표시됩니다.
먼저 신규레이블이 표시됩니다.

양식에서 필드를 채웁니다.


필드	설명
이름	역량 프로파일의 이름입니다.
저장된 검색 여부	이렇게 하면 저장된 검색이 실행됩니다. 예를 들어 이름 필드는 저장된 검색의 이름과 일치해야 합니다.
관찰 검색 소스	통합을 위해 구성된 소스를 정의합니다.
검색	네이티브 검색 문자열을 추가하여 쿼리를 형성합니다.
활성	쿼리는 활성 상태인 경우에만 실행됩니다.
옵저버블 유형	옵저버블 범주의 유형을 정의합니다.
검색당 최대 옵저버블	검색 쿼리가 여러 쿼리로 분할되기 전의 옵저버블 수입니다. 이 통합에 대해 이 값을 1로 설정합니다.
사이팅 검색 매개변수	사이팅 검색 매개변수를 사용하여 지정된 로그 저장소에서 지원하는 논리 및 기타 연산자를 포함하는 보다 복잡한 쿼리를 정의합니다.

먼저 제출 구성을 완료합니다.