Criar e configurar um perfil para pesquisa de detecções com a integração do FireEye

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Configure o perfil de pesquisa de detecções usando o procedimento a seguir.

    Antes de Iniciar

    Função necessária: administrador de incidentes de segurança do NowPlatform (sn_si.admin)

    Sempre que uma origem for criada, as configurações de pesquisa de detecções individuais para cinco tipos (Arquivo, IPs (v4), MD5, SHA1 e SHA256) serão criadas e inativas por padrão. Você deve torná-lo ativo antes de usar a Pesquisa de detecções. Cada tipo de observável tem uma consulta de pesquisa diferente para recuperar detecções. Estaríamos iniciando uma pesquisa diferente para cada tipo de observável. A pesquisa de vários observáveis para uma pesquisa de detecções não é possível no FireEye, pois isso executaria uma operação E nos observáveis, e o resultado poderia ser impreciso.
    Nota:
    Para a pesquisa de detecções, somente cinco pesquisas ativas podem estar presentes de uma só vez. O restante será enfileirado e começará após a conclusão de qualquer uma das detecções em andamento.

    Se você quiser criar um novo perfil de pesquisa de detecções, siga as etapas abaixo para criar um:

    Procedimento

    1. Navegar até Integrações > Configuração da Pesquisa de detecções.
    2. Clicar Novo.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome Nome do perfil de capacidade.
      Pesquisa salva Isso executará uma pesquisa salva, ou seja, o campo de Nome deve corresponder ao nome da pesquisa salva.
      Origem da pesquisa de detecções Define a origem configurada para a integração.
      Pesquisar Adicione uma cadeia de caracteres de pesquisa nativa para formar uma consulta.
      Ativo A consulta será executada somente se estiver ativa.
      Tipo de observável Define o tipo de categoria de observável.
      Máximo de observáveis por pesquisa O número de observáveis antes da consulta de pesquisa é dividido em várias consultas. Defina este valor como 1 para esta integração.
      Parâmetros de pesquisa de detecções Use os parâmetros de pesquisa de detecções para definir consultas mais complexas que incluem lógica e outros operadores compatíveis com o armazenamento de log especificado.
    4. Clicar Enviar para concluir a configuração.