Sichtungssuche an TISC senden

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

2 Minuten Lesedauer

Mit dieser Funktion kann der Sicherheitsanalyst die Sichtungssuchdaten von SIR an TISC übertragen. Mithilfe des TISC-Kontexts kann der Analyst überprüfen, ob die Sichtungssuchdaten in TISC vorhanden sind. Wenn nicht, kann der Sicherheitsanalyst die Daten bei Bedarf veröffentlichen.

Vorbereitungen

Erforderliche Rolle: sn_si.analyst

Prozedur

Navigieren Sie im SIR-Arbeitsbereich zur Registerkarte Zugehörige Datensätze, um die Aktion für die TISC-Integrationsfunktion auszuführen.
Hinweis:
- Sie können auch zur Registerkarte Ermittlung und dann zum Abschnitt Einstiegspunktlisten navigieren, der auf der linken Seite angezeigt wird, und Zugehörige erkennbare Elemente auswählen, um den Veröffentlichungsvorgang auszuführen.
- Klicken Sie auf der Registerkarte Ermittlungauf Zugehörige Informationen anzeigen, um alle zugehörigen Daten für die Bedrohungssuche, die Sichtungssuche und die Ergänzungsdaten für das ausgewählte erkennbare Element anzuzeigen. Weitere Informationen finden Sie unter Untersuchungs-Canvas erkunden.
Auswahlvorgang Sichtungssuche > Sichtungssuchergebnisse um den Veröffentlichungsvorgang auszuführen und die Daten manuell in TISC zu übertragen.
Wählen Sie einen oder mehrere Datensätze mit Sichtungssuchergebnissen aus.
Klicken Sie auf Ergebnisse an TISC senden.
Hinweis:
- Wenn das ausgewählte erkennbare Element der Sichtungssuche in TISC nicht vorhanden ist, wird es im manuellen Modus zuerst als erkennbare Quelle erstellt. Sobald das erkennbare Quellelement einen TISC-Datensatz für ein erkennbares Element erstellt, wird der erkennbare Datensatz automatisch dem neu erstellten erkennbaren Element zugeordnet. Außerdem wird die ausgewählte Sichtungssuche an das neu erstellte erkennbare Element der Bedrohungssuche im manuellen Modus übertragen.
- In einem automatischen Modus werden die erkennbaren Elemente nicht übertragen, wenn das erkennbare Element vorhanden ist. Dann werden die Bedrohungssuchen automatisch übertragen. Wenn die erkennbaren Elemente nicht vorhanden sind, werden die Bedrohungssuchen nicht gepusht.
Wählen Sie TISC-Kontextaus.
Hinweis:
:
- Sie sehen jetzt das erkennbare Element, das von der SIR-Anwendung an TISC übertragen wird.
- Bei einem manuellen Veröffentlichungsvorgang: Die Daten erkennbarer Elemente können nur übertragen werden, wenn sie mit den Security Incidents verknüpft sind. Sobald das erkennbare Element aus SIR übertragen wurde, können diese Daten mithilfe von Quellen identifiziert werden, die einen Verweis auf den mit dem erkennbaren Element verknüpften Security Incident enthalten.
- Bei einem automatischen Push-Vorgang: Die erkennbaren Elemente oder Ergänzungsdaten werden automatisch übertragen, wenn sie einem Security Incident zugeordnet sind.
- TISC-Kontext zeigt alle dem SIR zugeordneten erkennbaren Elemente an, die auch in TISC vorhanden sind.
- Über den TISC-Kontext können SIR-Analysten alle TISC-Ergänzungsdaten anzeigen, einschließlich Bedrohungssuchen, Sichtungssuchen und Daten der Ergänzung erkennbarer Elemente.
- „Zugeordnete Informationen anzeigen“ zeigt alle zugeordneten Ergänzungsdaten erkennbarer Elemente der ausgewählten erkennbaren Elemente an.
Sobald der Datensatz verarbeitet wurde, wählen Sie ihn aus, und klicken Sie auf Zugehörige Informationen anzeigen.
Zeigen Sie die Ergebnisse an.
Klicken Sie auf einen beliebigen Datensatz mit Sichtungssuchergebnissen, um den Datensatz in der Formularansicht anzuzeigen. Dort wird auch der Push- oder Erfassungstyp (automatisch oder manuell) angezeigt, und die Quelle ist Threat Intelligence Security Center.