Senden Sie die Bedrohungssuche an TISC

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Mit dieser Funktion kann der Sicherheitsanalyst die Bedrohungssuchdaten von SIR an TISC übertragen. Mithilfe des TISC-Kontexts können Sie überprüfen, ob die Ergebnisse der Bedrohungssuche in TISC vorhanden sind. Andernfalls kann der Sicherheitsanalyst die Daten bei Bedarf veröffentlichen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren Sie im SIR-Arbeitsbereich zur Registerkarte Zugehörige Datensätze, um die Aktion für die TISC-Integrationsfunktion auszuführen.
      Hinweis:
      • Sie können auch zur Registerkarte Ermittlung und dann zum Abschnitt Einstiegspunktlisten navigieren, der auf der linken Seite angezeigt wird, und Zugehörige erkennbare Elemente auswählen, um den Veröffentlichungsvorgang auszuführen.
      • Klicken Sie auf der Registerkarte Ermittlung auf Zugehörige Informationen anzeigen, um alle zugehörigen Daten für die Bedrohungssuche, die Sichtungssuche und die Ergänzungsdaten für das ausgewählte erkennbare Element anzuzeigen. Weitere Informationen finden Sie unter Untersuchungs-Canvas erkunden.
    2. Auswahlvorgang Bedrohungsinformationen > Ergebnisse der Bedrohungssuche um den Veröffentlichungsvorgang auszuführen und die Daten manuell in TISC zu übertragen.
    3. Wählen Sie mindestens einen Datensatz mit Ergebnissen der Bedrohungssuche aus.
    4. Klicken Sie auf Ergebnisse an TISC senden.
      Ergebnisse an TISC senden
      Hinweis:
      • Wenn das ausgewählte erkennbare Element der Bedrohungssuche in TISC nicht vorhanden ist, wird es im manuellen Modus zuerst als erkennbare Quelle erstellt. Sobald das erkennbare Quellelement einen TISC-Datensatz für ein erkennbares Element erstellt, wird der erkennbare Datensatz automatisch dem neu erstellten erkennbaren Element zugeordnet. Außerdem wird die ausgewählte Bedrohungssuche an das neu erstellte erkennbare Element für die Bedrohungssuche im manuellen Modus übertragen.
      • In einem automatischen Modus werden die erkennbaren Elemente nicht übertragen, wenn das erkennbare Element vorhanden ist. Dann werden die Bedrohungssuchen automatisch übertragen. Wenn die erkennbaren Elemente nicht vorhanden sind, werden die Bedrohungssuchen nicht gepusht.
    5. Es wird eine Bestätigungsmeldung angezeigt, dass das erkennbare Element (1.9.78.242) für den ausgewählten Bedrohungssuchdatensatz in TISC nicht vorhanden ist. Es dauert einige Zeit, um ein erkennbares Element zu erstellen und den Bedrohungssuchdatensatz des erkennbaren Elements in TISC automatisch zuzuordnen.
      Sobald verarbeitet und übertragen wurde, können Sie die Ergebnisse sehen.
    6. Wählen Sie TISC-Kontext aus.
      Hinweis:
      :
      • Sie sehen jetzt das erkennbare Element, das von der SIR-Anwendung an TISC übertragen wird.
        TISC-Kontext
      • Bei einem manuellen Veröffentlichungsvorgang: Die Daten erkennbarer Elemente können nur übertragen werden, wenn sie mit den Security Incidents verknüpft sind. Sobald das erkennbare Element aus SIR übertragen wurde, können diese Daten mithilfe von Quellen identifiziert werden, die einen Verweis auf den mit dem erkennbaren Element verknüpften Security Incident enthalten.
      • Bei einem automatischen Veröffentlichungsvorgang: Die erkennbaren Elemente oder Ergänzungsdaten werden automatisch übertragen, wenn sie einem Security Incident zugeordnet sind.
      • TISC-Kontext zeigt alle dem SIR zugeordneten erkennbaren Elemente an, die auch in TISC vorhanden sind.
      • Über den TISC-Kontext können SIR-Analysten alle TISC-Ergänzungsdaten anzeigen, einschließlich Bedrohungssuchen, Sichtungssuchen und Daten der Ergänzung erkennbarer Elemente.
      • „Zugeordnete Informationen anzeigen “ zeigt alle zugeordneten Ergänzungsdaten erkennbarer Elemente der ausgewählten erkennbaren Elemente an.
    7. In der Listenansicht werden alle Ergebnisse der Bedrohungssuche angezeigt. Wählen Sie jedoch einen beliebigen Datensatz aus, und klicken Sie auf die Schaltfläche „Zugeordnete Informationen anzeigen“.
    8. Zeigen Sie die Ergebnisse der Bedrohungssuche an.
    9. Klicken Sie auf einen beliebigen Datensatz mit den Ergebnissen der Bedrohungssuche, um den Datensatz in der Formularansicht anzuzeigen. Dort werden auch der Push- oder Erfassungstyp (automatisch oder manuell) und die Quelle als Security Incident Response angezeigt.
      Zeigen Sie die Ergebnisse der Bedrohungssuche an