Ansichten:

Erstellen Sie einen Demobericht, um die umfassenden Fähigkeiten der Bedrohungsaufklärung zu testen.

Verwenden Sie die folgenden Schritte, um einen Demobericht für Threat Intelligence Sweeping zu erstellen und einen Alarm in der Workbench-App zu generieren.

Prozedur

  1. Navigieren Sie in der Trend Vision One Konsole zu Agentic SIEM & XDRXDR Data Explorer.
  2. Suchen Sie nach VPC-Flow-Log-Daten der letzten 30 Tage.
    Verwenden Sie die Suchmethode Network Activity Data und filtern Sie nach productCode: vpc.
  3. Wählen Sie eine Beispielaktivität aus und kopieren Sie eines der folgenden Felder:
    • src: Quell-IP-Adresse
    • dst: Ziel-IP-Adresse
    • pktSrcAddr: Paket-Ursprungsadresse
    • pktDstAddr: Paket-Zieladresse
  4. Verwenden Sie die Berichtvorlage, um eine benutzerdefinierte Demo-Vorlage zu erstellen.
    Im Demo-Template ersetzen Sie die Werte für die folgenden Attribute unter "objects":
    • "name": Ersetzen Sie "${name}" durch einen erkennbaren Namen.
      Zum Beispiel, "name": "VPC Flow Log Test"
    • "id": Ersetzen Sie "${report_id}" durch einen Name des Berichts, der eine GUID enthält.
      Zum Beispiel, "id": "report--a763cbf4-3562-456e-a319-ef94e33ead72"
    • "pattern": Ersetzen Sie "${pattern}" durch den Suchwert.
      Dies ist der IPv4-Adresswert, den Sie im vorherigen Schritt aus den Suchergebnissen kopiert haben, im Format "[ipv4-addr:value = 'x.x.x.x']". Zum Beispiel, wenn die Ziel-IP-Adresse 8.8.8.8 ist, geben Sie das Attribut:Wert-Set als "pattern": "[ipv4-addr:value = '8.8.8.8']" an
    Verwenden Sie den folgenden Code, um die Demo-Vorlage zu erstellen. Die Demo-Vorlage ist eine STIX-Datei im JSON-Format.
    {
    "type": "bundle",
    "id": "bundle--f084b7bb-cec2-4547-b9af-2076359b8647",
    "objects": [
        {
            "created_by_ref": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
            "name": "${name}",
            "published": "2022-09-09T07:21:23.921Z",
            "modified": "2022-09-09T07:21:23.921Z",
            "report_types": [
                "indicator"
            ],
            "object_refs": [
                "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
                "indicator--491094c9-3245-48b4-9f2e-f53aae86c767"
            ],
            "type": "report",
            "id": "${report_id}",
            "created": "2022-09-09T07:21:23.921Z",
            "spec_version": "2.1"
        },
        {
            "type": "identity",
            "id": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
            "created": "2022-09-09T07:21:23.921Z",
            "modified": "2022-09-09T07:21:23.921Z",
            "spec_version": "2.1"
        },
        {
            "valid_from": "2022-09-09 07:21:10",
            "created_by_ref": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
            "created": "2022-09-09T07:21:23.921Z",
            "pattern": "${pattern}",
            "pattern_type": "stix",
            "labels": [
                "malicious-activity"
            ],
            "modified": "2022-09-09T07:21:23.921Z",
            "type": "indicator",
            "id": "indicator--491094c9-3245-48b4-9f2e-f53aae86c767",
            "spec_version": "2.1",
            "description": ""
        }
    ]
}
    Für beste Ergebnisse speichern Sie die Datei als {report_id}.json, einschließlich der GUID im FileName.
  5. Navigieren Sie zu Threat IntelligenceIntelligence ReportsBenutzerdefiniert.
  6. Klicken Sie auf Hinzufügen.
  7. Für Methode wählen Sie STIX file.
  8. Klicken Sie auf Datei auswählen... und suchen Sie die erstellte Demo-Vorlagendatei.
  9. Klicken Sie auf Absenden.
  10. Suchen Sie den benutzerdefinierten Bericht, den Sie erstellt haben, und klicken Sie auf das Optionssymbol (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png).
  11. Wählen Sie Start Sweeping, um den Bericht auszuführen.
    Wenn korrekt konfiguriert, erscheint ein übereinstimmender Sweep mit einer verknüpften Workbench-Warnung. Klicken Sie auf den Link, um die Warnung in der Workbench-App anzuzeigen.