FireEye 통합으로 사이팅 검색을 위한 프로파일 생성 및 구성

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기1분

다음 절차를 사용하여 사이팅 검색 프로파일을 구성합니다.

시작하기 전에

필요한 역할: NowPlatform Security 인시던트 관리자(sn_si.admin)

소스가 생성될 때마다 5가지 유형(파일, IP(v4), MD5, SHA1 및 SHA256)에 대한 개별 사이팅 검색 구성이 생성되고 기본적으로 비활성화됩니다. 사이팅 검색을 사용하기 전에 활성화해야 합니다. 각 옵저버블 유형에는 사이팅을 검색하기 위한 다른 검색 쿼리가 있습니다. 각 옵저버블 유형에 대해 다른 검색을 시작합니다. 사이팅 검색을 위한 다중 옵저버블 검색은 옵저버블에 대해 AND 연산을 수행하고 결과가 부정확할 수 있으므로 FireEye에서 불가능합니다.

주:

사이팅 검색의 경우 한 번에 5개의 활성 검색만 존재할 수 있습니다. 나머지는 큐에 대기 중이며 진행 중인 목격 중 하나가 완료된 후 시작됩니다.

새 사이팅 검색 프로파일을 만들려면 아래 단계에 따라 프로파일을 만듭니다.

프로시저

다음으로 이동 통합 > 사이팅 검색 구성.
Click 신규.

양식에서 필드를 채웁니다.


필드	설명
이름	역량 프로파일의 이름입니다.
저장된 검색 여부	이렇게 하면 저장된 검색이 실행됩니다. 예를 들어 이름 필드는 저장된 검색의 이름과 일치해야 합니다.
관찰 검색 소스	통합을 위해 구성된 소스를 정의합니다.
검색	네이티브 검색 문자열을 추가하여 쿼리를 만듭니다.
활성	쿼리는 활성 상태인 경우에만 실행됩니다.
옵저버블 유형	옵저버블 범주의 유형을 정의합니다.
검색당 최대 옵저버블	검색 쿼리가 여러 쿼리로 분할되기 전의 옵저버블 수입니다. 이 통합에 대해 이 값을 1로 설정합니다.
사이팅 검색 매개변수	사이팅 검색 매개변수를 사용하여 지정된 로그 저장소에서 지원하는 논리 및 기타 연산자를 포함하는 보다 복잡한 쿼리를 정의합니다.

Click 제출 구성을 완료합니다.