Enviar observáveis para TISC

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Usando este recurso, o analista de segurança pode enviar por push os dados de observáveis do SIR para o TISC. Usando o contexto de TISC, você pode verificar se os observáveis estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados por push sempre que necessário.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegue até a guia Registros relacionados no espaço SIR para executar a ação da capacidade de integração de TISC.
      Nota:
      • Você também pode navegar até a guia Investigação e navegar até a seção Listas de pontos de entrada exibida no lado esquerdo da página e selecionar Observáveis associados para executar a operação de envio.
      • Na guia Investigação, clique em Exibir informações relacionadas para exibir todas as pesquisas de ameaças associadas, pesquisa de detecções e dados de enriquecimento do observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
    2. Por exemplo, selecione Inteligência sobre ameaça > Observáveis Associados para executar a operação de envio e enviar manualmente os dados para o TISC.
    3. Selecione um ou mais registros de observável para executar a operação Enviar observável para TISC para enviar os dados por push.
      Espaço de SIR - Enviar observável para TISC
    4. Clique em Enviar observável para TISC.
      Nota:
      • Se o observável selecionado não estiver presente no TISC, primeiro o observável será criado como origem de observável e, quando o observável de origem criar o registro de observável de TISC, o registro de observável será automaticamente associado ao observável recém-criado.
      • Depois que a operação de envio do observável é executada, uma mensagem informativa é exibida informando que o observável 0.0.0.0 foi enviado por push com sucesso para o TISC. Pode levar algum tempo para converter para refletir na guia de contexto de TISC.
      Enviar para operação de observável de push de TISC
    5. Selecione Contexto de TISC.
      Nota:
      :
      • Agora você verá o observável que é enviado por push para o TISC da aplicação SIR.
        Exibir informações associadas aos observáveis.
      • Em uma operação de envio manual: os dados do observável só podem ser enviados se estiverem vinculados aos incidentes de segurança. Depois que o observável é enviado do SIR, esses dados podem ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
      • Em uma operação de envio automático: os dados do observável ou de aprimoramento serão enviados automaticamente quando estiverem associados ao incidente de segurança.
      • O contexto do TISC mostra todos os observáveis associados ao SIR que também estão presentes no TISC.
      • Usando o contexto do TISC, os analistas do SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento do observável.
      • Exibir informações associadas mostrará todos os dados de aprimoramento do observável associado dos observáveis selecionados.
    6. Exibe os resultados.