Criar e configurar um perfil para pesquisa de vistas com a integração do FireEye

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Configure o perfil de pesquisa de vistas usando o procedimento a seguir.

    Antes de Iniciar

    Função necessária: administrador de incidentes do NowPlatform Security (sn_si.admin)

    Sempre que uma origem for criada, as configurações de pesquisa de vistas individuais para cinco tipos (Arquivo, IPs (v4), MD5, SHA1 e SHA256) serão criadas e inativas por padrão. Você deve torná-lo ativo antes de usar a Pesquisa de detecções. Cada tipo de observável tem uma consulta de pesquisa diferente para recuperar vistas. Estaríamos iniciando uma pesquisa diferente para cada tipo de observável. A pesquisa de vários observáveis para uma pesquisa de vista não é possível no FireEye, pois ele executaria uma operação AND nos observáveis, e o resultado pode ser impreciso.
    Nota:
    Para a pesquisa de Vistas, somente cinco pesquisas ativas podem estar presentes de uma só vez. O restante será enfileirado e começará após a conclusão de qualquer uma das vistas em andamento.

    Se você quiser criar um novo perfil de pesquisa de vistas, siga as etapas abaixo para criar um:

    Procedimento

    1. Navegar até Integrações > Configuração de Pesquisa de Vistas.
    2. Clicar Novo.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome Nome do perfil de recurso.
      Pesquisa salva Isso executará uma pesquisa salva, ou seja, o campo de Nome deve corresponder ao nome da pesquisa salva.
      Origem de pesquisa de vistas Define a origem configurada para a integração.
      Pesquisar Adicione uma cadeia de caracteres de pesquisa nativa para formar uma consulta.
      Ativo A consulta será executada somente se estiver ativa.
      Tipo de observável Define o tipo de categoria de observável.
      Máximo de observáveis por pesquisa O número de observáveis antes da consulta de pesquisa é dividido em várias consultas. Defina este valor como 1 para esta integração.
      Parâmetros de pesquisa de detecções Use os parâmetros de pesquisa de detecções para definir consultas mais complexas que incluem lógica e outros operadores compatíveis com o armazenamento de log especificado.
    4. Clicar Enviar para concluir a configuração.