Configurer la recherche de perception

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Vous pouvez effectuer une recherche de perceptions sur un ou plusieurs observables pour déterminer le nombre de fois où les observables sont vus dans les journaux de votre organisation. Vous pouvez effectuer une recherche de perception sur les observables dans un nombre de jours ou une plage de dates sélectionné.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Remarque :
    Le module Intégrations de l’enrichissement s’affiche uniquement si au moins une des intégrations prenant en charge l’une des options est installée dans l’application.
    Le prend Centre de sécurité des renseignements sur les menaces en charge la recherche de perception uniquement pour les intégrations suivantes :
    • Recherche Splunk
    • Elasticsearch

    Pourquoi et quand exécuter cette tâche

    La section Recherche de perceptions contient uniquement les intégrations avec le type d’intégration Recherche de perceptions.

    Cette section affiche les cartes pour chacune des implémentations d’intégration configurées que vous pouvez activer et utiliser.

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
    2. Cliquez sur l’icône Intégrations , puis sélectionnez la section Recherche de perceptions .
      Intégrations de recherche de perceptions
    3. Cliquez sur l’action Configurer un nouvel enrichissement .
      Vous accédez alors à la fenêtre contextuelle qui affiche les intégrations disponibles. Vous devez choisir l’intégration que vous devez configurer.
    4. Sélectionnez une intégration dans la liste des intégrations disponibles, puis cliquez sur Sélectionner.
      Vous accédez alors à la page Créer une intégration d’enrichissement de l’intégration sélectionnée. Cette page est préremplie avec les détails de l’intégration sélectionnée par défaut. Par exemple, Intégration Splunk.

      Sélectionner une intégration dans la liste des intégrations disponibles

    5. Renseignez les champs du formulaire Créer une intégration.
      ChampDescription
      Intégration de l'enrichissement  
      Nom Entrez un nom pour la nouvelle intégration de l’enrichissement. Par exemple, Splunk-1.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont préremplis par défaut. Par exemple, Splunk.
      Type d'intégration Type d’intégration que vous avez sélectionné, à savoir Recherche de perception. Les détails du type d’intégration sélectionné sont préremplis par défaut.
      Description Saisissez une description unique pour la nouvelle intégration de l’enrichissement.
      Formulaire Créer une intégration de l’enrichissement
    6. Dans la section Configuration de l’intégration, configurez les détails de l’intégration en fonction de vos besoins.
      La section Configuration de l’intégration comprend des détails de configuration tels que la clé API, l’ID ou le secret client API, le nom d’utilisateur, le mot de passe, etc., que vous devez remplir. Ces détails de configuration varient selon les applications.
    7. Cliquez sur l’action Enregistrer pour stocker et créer la nouvelle configuration de l’intégration de l’enrichissement.
      Les détails fournis sont validés et, par défaut, l’état de l’intégration d’enrichissement est désactivé.
    8. Cliquez sur l’action Enregistrer comme brouillon pour stocker uniquement les mises à jour apportées à la configuration d’enrichissement et ne pas la créer.
      Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez renseigner les informations restantes dans la version brouillon et la créer.
    9. Pour activer l’intégration de l’enrichissement, cliquez sur Activer.
      L’intégration de l’enrichissement est activée avec succès. Vous pouvez également activer une intégration d’enrichissement particulière à l’aide du menu Actions de la vignette d’intégration requise sur la page Catalogue ou de la page Toute l’intégration.