Überprüfen Sie die erwarteten Ergebnisse für Hybrid Analysis

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erkennbare Elemente werden automatisch von einem Security Incident generiert und von der Anwendung gescannt. Suchen Sie die Suchergebnisse im Security Incident, um sicherzustellen, dass die Bedrohungssuche erfolgreich ausgeführt wurde. Zeigen Sie auch Rohdaten an, und führen Sie Bedrohungssuchen für untergeordnete erkennbare Elemente aus.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Öffnen Sie den Security Incident-Datensatz, mit dem Sie arbeiten, und vergewissern Sie sich, dass die Suche erfolgreich ausgeführt wurde.
      Suchstatus in den Arbeitsnotizen.
      Nachdem die Anwendung konfiguriert wurde, wird der Workflow automatisch bei der Incident-Erstellung gestartet. Die Ausführung und der Abschlussstatus der Suche werden dann in den Arbeitsnotizen im Security Incident angezeigt.
    2. Überprüfen Sie die Arbeitsnotizen auf weitere Informationen zum weiteren Vorgehen, wenn Sie nicht überprüfen können, ob die Suche erfolgreich ausgeführt wurde.
    3. Navigieren Sie zum Ende des Security Incident-Datensatzes, und klicken Sie auf den zugehörigen Link Alle zugehörigen Listen anzeigen, um die Ergebnisse anzuzeigen.
      Hinweis:
      Die Abbildungen in den folgenden Schritten werden mit der Einstellung Formulare mit Registerkarten in den Systemeinstellungen angezeigt. Klicken Sie in der oberen rechten Ecke des Bannerframes auf das Zahnradsymbol für Einstellungen. Klicken Sie im angezeigten Dialogfeld „ Systemeinstellungen “ auf Formulare, und überprüfen Sie, ob Formulare mit Registerkarten und Mit dem Formular ausgewählt sind.
      Suchergebnisse.
      Auf der Registerkarte Ergebnisse der Bedrohungssuche werden die Suchergebnisse am Ende des Security Incident-Datensatzes angezeigt. Beachten Sie, dass in der Spalte „Ergebnis“ für Datensätze, die nicht als schädlich eingestuft wurden, Unbekannt angezeigt wird. Bei Ergebnissen, die mit „böswillig“ übereinstimmen, wird in der Spalte „Ergebnis“ Böswilligangezeigt.
    4. Klicken Sie in der Spalte Erkennbares Element auf ein erkennbares Element, um den Datensatz zu öffnen.
      Öffnen Sie den Datensatz eines erkennbaren Elements mit Suche und Sicherheits-Tag.
      Bei Suchvorgängen, die böswillig übereinstimmen, wird im Feld FindenBöswilligangezeigt, und das erkennbare Element wird mit der Quelle Threat Intelligence getaggt, die es als böswillig eingestuft hat, in diesem Fall die Hybrid Analysis -Integration.
    5. Wahlweise: Führen Sie die Schritte aus, um Rohdaten anzuzeigen, eine Liste der untergeordneten erkennbaren Elemente anzuzeigen und eine Bedrohungssuche für ausgewählte untergeordnete erkennbare Elemente auszuführen.
      1. Navigieren Sie zurück zum Security Incident, und klicken Sie auf der Registerkarte Ergebnisse der Bedrohungssuche auf das blaue Informationssymbol neben einem erkennbaren Element.
        Informationssymbol im Datensatz.
      2. Klicken Sie im angezeigten Fenster auf Datensatz öffnen, um die Daten anzuzeigen.
        Aus allen erkennbaren Elementen, die in den Rohdaten angezeigt werden, die aus der Suche angezeigt werden, erstellt die Hybrid Analysis -Integration auch untergeordnete oder zugehörige erkennbare Elemente.
        Rohdaten im Datensatz des erkennbaren Elements.
        Der von der API erstellte Link, die Rohdaten und andere Informationen werden angezeigt.
      3. Navigieren Sie zurück zum Security Incident, und klicken Sie auf den zugehörigen Link IoC anzeigen.
        Die untergeordneten erkennbaren Elemente werden auf der Registerkarte „ Untergeordnete erkennbare Elemente“ des Security Incident angezeigt, da bei der Suche eine vorhandene Verbindung zwischen diesen zugehörigen erkennbaren Elementen und dem ursprünglich übermittelten erkennbaren Element gefunden wurde.
      4. Klicken Sie auf das Feld neben einem erkennbaren Element in der untergeordneten Spalte, um es auszuwählen, gefolgt vom zugehörigen Link Bedrohungssuche ausführen, um eine Suche durchzuführen.
        Registerkarte „Untergeordnete erkennbare Elemente“
      5. Vergewissern Sie sich im angezeigten Dialogfeld, dass die Integration Hybrid Analysis ausgewählt ist, und klicken Sie auf Absenden.
      6. Überprüfen Sie in den Arbeitsnotizen, ob die Suche erfolgreich ausgeführt wurde, und suchen Sie auf der Registerkarte Ergebnisse der Bedrohungssuche im Security Incident nach Suchergebnissen für die untergeordneten erkennbaren Elemente.
    Wenn auf der Registerkarte Ergebnisse der Bedrohungssuche keine Ergebnisse angezeigt werden, stellen Sie sicher, dass das erkennbare Element ein Typ ist, der für die Suche von der Integration unterstützt wird.