Fügen Sie dem TISC-Fall erkennbare Elemente hinzu

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie diesen Abschnitt, um einem TISC-Fall Security Incidents oder erkennbare Elemente hinzuzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response > Security Incidents > Allean.
    2. Suchen und öffnen Sie einen bestimmten Security Incident, den Sie untersuchen.
      Sie können dazu auch nach der Incident-ID suchen, im Abschnitt „Schnellfilter“ filtern oder einen Incident-Status durchsuchen.
    3. Wählen Sie die Registerkarte TISC-Kontext.
    4. Klicken Sie auf die Schaltfläche Zu TISC-Fall hinzufügen.
      Das Dialogfeld „Zu TISC-Fall hinzufügen“ wird angezeigt, das nur die TISC-Fälle zeigt, bei denen der Datensatz noch nicht zugeordnet ist.
    5. Wählen Sie die erkennbaren Elemente aus.
    6. Wählen Sie einen oder mehrere Fälle aus, und klicken Sie auf Hinzufügen, um die Fälle den erkennbaren Elementen hinzuzufügen und sie dem Security Incident zuzuordnen.
      Zu TISC-Fall aus SIR-Arbeitsbereich hinzufügen.
      Hinweis:
      Sie können auch einen neuen Fall erstellen, indem Sie auf Neuen TISC-Fall erstellen klicken, wenn Sie noch keine Fälle haben.
      Die folgenden Bestätigungsmeldungen werden angezeigt:
      • Die folgenden erkennbaren Elemente wurden erfolgreich als Artefakte hinzugefügt.
      • Die folgenden erkennbaren Elemente werden an TISC gesendet und anschließend den ausgewählten TISC-Falldatensätzen hinzugefügt.
      Hinweis:
      Die Verarbeitung und Zuordnung der Aktivitäten erkennbarer Elemente werden im Aktivitätenstrom veröffentlicht, sobald die Zuordnung abgeschlossen ist.
    7. Zeigen Sie die zugehörigen Falldatensätze an, indem Sie sich für weitere Schritte beim Arbeitsbereich für Threat Intelligence-Sicherheitszentrum anmelden.
      Weitere Informationen finden Sie unter TISC-Integration mit SIR Workspace.
      Hinweis:
      Im Arbeitsbereich für Security Incident Response können Sie auch erkennbare Elemente mit Falldatensätzen über die Registerkarten Untersuchung und Zugehörige Datensätze verknüpfen.
      Hinweis:
      Um erkennbare Elemente aus der Untersuchung zuzuordnen, führen Sie die folgenden Schritte aus. Um die Zuordnung aus zugehörigen Datensätzenzuzuordnen, gehen Sie wie folgt vor Fügen Sie dem TISC-Fall erkennbare Elemente hinzu.Sie können auch zur Registerkarte Ermittlung navigieren und zum Abschnitt Einstiegspunktlisten navigieren, der links auf der Seite angezeigt wird, und Zugeordnete erkennbare Elemente auswählen um dem TISC-Fall erkennbare Elemente hinzuzufügen.