Définir les propriétés du Centre de sécurité des renseignements sur les menaces

Rversion finale: Australia

Mis à jour 21 avr. 2026

10 minutes de lecture

Passez en revue les composants installés Centre de sécurité des renseignements sur les menaces avec pour comprendre les rôles, les propriétés et les autres éléments ajoutés à votre instance.

Avant de commencer

Rôle requis : sn_sec_tisc.admin

Remarque :

Seuls les utilisateurs disposant du rôle administrateur [sn_sec_tisc.admin] peuvent les modifier.

Procédure

Naviguer Tous > Centre de sécurité des renseignements sur les menaces > Propriétés.

Configurez les propriétés suivantes, selon vos besoins.


Propriété	Description
Propriétés du Centre de sécurité des renseignements sur les menaces
Cela désactivera toutes les règles de corrélation. Si nous avons juste besoin de désactiver les règles de corrélation sélectionnées, utilisez plutôt le champ « actif » de la règle de corrélation. sn_sec_tisc.disable_correlation_rules	Type : vrai \| faux Valeur par défaut : faux
Cette propriété permet d'activer/de désactiver le traitement des agrégats dans la fonctionnalité du calculateur de score de menace. sn_sec_tisc.agrégats_pour_calculatrice	Type : vrai \| faux Valeur par défaut : true
Nombre de lignes de données brutes qui sont enregistrées lors de l’exécution d’une recherche d’observations. Plage 0 – 100 sn_sec_tisc.sighting_search_raw_data_rows	Type : nombre entier Valeur par défaut : 50
Associez les résultats de la recherche de perception aux CI dans la CMDB. sn_sec_tisc.associate_ci_with_sighting_search	Type : vrai \| faux Valeur par défaut : true
Cela permet de contrôler si les URL des listes sont neutralisées ou non sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls	Type : vrai \| faux Valeur par défaut : faux
Cette propriété permet de déployer automatiquement la ou les MITRE™ techniques dans les tickets à partir des objets associés ou des incidents de sécurité. sn_sec_tisc.auto_rollup_mitre_data	Type : vrai \| faux Valeur par défaut : true
Si vrai, affiche toutes les tactiques (y compris celles qui n’ont aucune technique associée au ticket) pour les MITRE™ listes rendues dans le rapport. sn_sec_tisc. Montrer_toutes_les_tactiques_rapports	Type : vrai \| faux Valeur par défaut : true
ID système du modèle de client de messagerie pour la table Ticket (sn_sec_tisc_case) qui sera utilisé dans le rapport de partage. sn_sec_tisc.reporting_email_template_sn_sec_tisc_case	Type : chaîne Valeur par défaut : b55e22c54324021060eee0ea78b8f2df
Le niveau TLP par défaut est appliqué lors de la création d’un nouvel enregistrement. Si elle n’est pas définie manuellement sur le formulaire, cette valeur sera utilisée. sn_sec_tisc.tlp_default_value	Type : liste de choix Valeur par défaut : 955c9e5543d35110baf06e434ab8f2fb
Niveau de connexion : débogage, information, avertissement, erreur sn_sec_tisc.logging.verbosité	Type : liste de choix Valeur par défaut : info
Propriétés des flux de Renseignements sur les menaces
Délai maximal, en secondes, pendant lequel une connexion HTTP sortante attend pour récupérer TAXII les données de la collection sn_sec_tisc.taxii.http.max_timeout	Type : nombre entier Valeur par défaut : 300
Nombre maximal d’objets récupérés dans un seul appel REST à partir d’un TAXII serveur (applicable uniquement pour TAXII les versions 2.0 et 2.1) sn_sec_tisc.taxii.max_taille_de_page	Type : nombre entier Valeur par défaut : 5000
Nombre maximal de nouvelles tentatives pour un échec TAXII de 2. X appel REST sn_sec_tisc.taxii2.retry_count	Type : nombre entier Valeur par défaut : 3
Nombre maximal d’objets récupérés dans un seul appel REST à partir du serveur Cyware TAXII sn_sec_tisc.cyware_taxii.max_taille_de_page	Type : nombre entier Valeur par défaut : 1 000 Remarque : Spécifie la taille de page utilisée lors de l’extraction des données à partir de TAXII collections associées au flux Cyware TAXII . Pour toutes les autres TAXII collections, la taille de page récupérée de la TAXII collection est par défaut la valeur définie dans la propriété correspondante : [`sn_sec_tisc.taxii.max_page_size`].
Nombre d’enregistrements à extraire simultanément à partir de CrowdStrike. Plus la valeur est élevée, plus la mémoire consommée pour le traitement de la charge utile est élevée. sn_sec_tisc.crowdstrike_api_limit	Type : nombre entier Valeur par défaut : 1 000
Indique le nombre d’indicateurs à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_indicator_batch_size	Type : nombre entier Valeur par défaut : 1 000
Indique le nombre d’acteurs à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_actor_batch_size	Type : nombre entier Valeur par défaut : 1 000
Indique le nombre de rapports à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_report_batch_size	Type : nombre entier Valeur par défaut : 50
Total autorisé de décalage et de limite par l’API CrowdStrike . sn_sec_tisc.crowdstrike_offset_limit_total	Type : nombre entier Valeur par défaut : 50 000
Propriétés des API REST
Définit le taille maximale de la page (nombre maximal d’observales retournés dans le cadre de la réponse) pour l’API d’extraction des observables. Il n’est pas recommandé d’augmenter la valeur à une valeur élevée, car elle peut affecter le délai de réponse de l’API. sn_sec_tisc.api_maximum_page_size_limit	Type : nombre entier Valeur par défaut : 1 000
Définit le nombre maximal d’observables qui peuvent être envoyés dans le corps de la demande pour l’API d’ajout d’observables. Il n’est pas recommandé d’augmenter la valeur à une valeur élevée, car elle peut affecter le délai de réponse de l’API. sn_sec_tisc.add_obs_api_max_records	Type : nombre entier Valeur par défaut : 100
Propriétés des webhooks
Nombre maximal d’événements à envoyer dans le cadre d’une demande de webhook. La taille du lot est limitée à 2 000 même si une valeur plus élevée est définie dans cette propriété. sn_sec_tisc.webhook_max_event_batch_size	Type : nombre entier Valeur par défaut : 100
Nombre de fois qu’une demande ayant échoué doit être réessayée avant de la marquer comme erreur et de passer au lot d’événements suivant. Le nombre de nouvelles tentatives est limité à 10 même si un nombre plus élevé est défini dans cette propriété. sn_sec_tisc.webhook_retry_count	Type : nombre entier Valeur par défaut : 100
Nombre de secondes à attendre avant de retenter un lot ayant échoué. Cette valeur augmentera de façon exponentielle en fonction du nombre de nouvelles tentatives. Par exemple, si retry_count est 3 et que retry_interval est 30, les nouvelles tentatives sont déclenchées après 30, 60 et 120 secondes. L’intervalle entre les tentatives initiales est limité à 300 secondes, même si une valeur plus élevée est définie dans cette propriété. sn_sec_tisc.webhook_retry_interval	Type : nombre entier Valeur par défaut : 30
Ignorer les événements de webhook déclenchés par la réapplication du score de menace sn_sec_tisc.webhook_ignore_threat_score_reapply	Type : vrai \| faux Valeur par défaut : true
Propriétés du canevas d'enquête
Si vous définissez la valeur sur vrai, de nouveaux nœuds sont ajoutés dans le coin supérieur gauche alors qu'une définition sur faux les ajoute au centre du canevas. sn_sec_tisc.canvas_suspend_reLayout	Type : vrai \| faux Valeur par défaut : true
Propriétés pour l’exportation aux formats CTI
Nombre maximal de lignes pouvant être exportées vers un STIX fichier 2.1 sn_sec_tisc.stix_export_limit	Type : nombre entier Valeur par défaut : 10000
Inclure les champs de type journal dans le fichier d'exportation. sn_sec_tisc.export_journal_fields	Type : vrai \| faux Valeur par défaut : true
Propriétés du partage de renseignements sur les menaces
Active ou désactive le respect de la casse pour l’application de la caviardage pour les informations partagées. (Par défaut, la valeur est faux, ce qui implique que la rédaction ne tient pas compte de la casse.) Remarque : Le changement de la valeur de cette propriété de faux à vrai ou de vrai à faux SUPPRIMERA toutes les données de la catégorie de rédaction ainsi que de la table des valeurs. sn_sec_tisc.case_sensitive_for_redaction	Type : vrai \| faux Valeur par défaut : faux
Nombre maximal de lignes autorisées dans le fichier de chargement de rédaction. sn_sec_tisc.max_redaction_rows_import	Type : nombre entier Valeur par défaut : 10000
Titre du serveur sortant TAXII sn_sec_tisc.taxii_server_discovery_api_title	Type : chaîne Valeur par défaut : serveur ServiceNow TAXII
Description du serveur sortant TAXII sn_sec_tisc.taxii_server_discovery_api_description	Type : chaîne Valeur par défaut : point de terminaison de découverte pour le partage de renseignements sur les cybermenaces via TAXII
Titre de la racine de l’API par défaut du serveur sortant TAXII sn_sec_tisc.taxii_server_api_root_title	Type : chaîne Valeur par défaut : serveur ServiceNow TAXII
Description de la racine de l’API par défaut du serveur sortant TAXII sn_sec_tisc.taxii_server_api_root_description	Type : chaîne Valeur par défaut : point de terminaison racine SAPI pour le partage de renseignements sur les cybermenaces via TAXII
Taille de page par défaut de la réponse d’API du TAXII serveur sn_sec_tisc.taxii_server_api_response_page_limit	Type : nombre entier Valeur par défaut : 100
Nombre maximal d’enregistrements pouvant être ajoutés à une collection de serveurs sortants TAXII sn_sec_tisc.taxii_server_collection_record_limit	Type : nombre entier Valeur par défaut : 10000
Nombre maximal d’entités qui peuvent être ajoutées à une collection TAXII dans une seule demande « Ajouter à la TAXII collection ». Le système applique une limite stricte de 10 000 entités par demande, quelle que soit la valeur configurée supérieure. sn_sec_tisc.add_to_taxii_collection_entity_threshold	Type : nombre entier Valeur par défaut : 1 000
Propriétés des règles de balisage
Active ou désactive la correspondance sensible à la casse des mots clés ou des regex règles de balisage n (par défaut, l’option est désélectionnée (Non), ce qui signifie que les correspondances sont sensibles à la casse). sn_sec_tisc.case_sensitive_for_tagging_rules	Type : vrai \| faux Valeur par défaut : faux

Sélectionnez Enregistrer pour appliquer les modifications apportées aux propriétés.

Que faire ensuite

Reportez-vous aux travaux planifiés décrits dans le tableau suivant :


Tâche	Description
Regrouper les enregistrements source de l’indicateur	Regroupe les enregistrements sources des indicateurs.
Regrouper les enregistrements sources de l’objet	Regroupe les enregistrements sources de l’objet.
Regrouper les enregistrements sources d’observables	Agrège les enregistrements sources des observables.
Nettoyage des importations périmées	Nettoie les enregistrements de tâches d’importation périmés.
Nettoyage des nouveaux nœuds de canevas inutilisés	Nettoie les nouveaux nœuds inutilisés du canevas.
Nettoyer les enregistrements de téléchargement de fichiers sécurisés	Nettoie les enregistrements de téléchargement de fichiers sécurisés.
Dédupliquer les enregistrements sources de l’indicateur	Déduplique les enregistrements sources des indicateurs.
Dédupliquer les enregistrements sources de l’objet	Déduplique les enregistrements sources de l’objet.
Dédupliquer les enregistrements sources d’observables	Déduplique les enregistrements sources des observables.
Désactiver les indicateurs expirés	Désactive les enregistrements d’indicateurs expirés.
Désactiver les objets expirés	Désactive les enregistrements d’objets expirés.
Désactiver les observables expirés	Désactive les enregistrements d’observables expirés
Migrer les données de TI vers TISC	Traite les enregistrements d’exécution de tâches de migration en attente
Renseigner les enregistrements agrégés pour les enregistrements sources des indicateurs	Identifie l’enregistrement agrégé parent pour les enregistrements sources d’indicateurs nouvellement créés
Renseigner les enregistrements agrégés pour les enregistrements sources de l’objet	Identifie l’enregistrement agrégé parent pour les enregistrements sources de l’objet nouvellement créés.
Renseigner les enregistrements agrégés pour les enregistrements sources d’observables	Identifie l’enregistrement agrégé parent pour les enregistrements sources d’observables nouvellement créés.
Renseigner la TISC référence dans TI	Remplit la référence de l’observable agrégé dans l’enregistrement d’observable TISC de TI.
Traiter les importations approuvées	Traite les tâches d’importation approuvées.
Traiter les enregistrements de file d’attente Dsm importés MISP	Enregistrements de file d’attente d’ingestion de MISP flux intermédiaire traités.
Traiter les enregistrements de file d’attente d’importation des indicateurs importés MISP	Traite les données intermédiaires MISP ingérées à partir d’Import Intelligence
Traiter les enregistrements de file d’attente d’importation importés STIX	Traite les données intermédiaires STIX ingérées à partir d’Import Intelligence
Traiter les enregistrements de file d’attente d’importation importés STIX : ingestion	Traite les données intermédiaires STIX ingérées à partir des flux de menaces.
Traiter la migration des artefacts de ticket en attente	Migre les artefacts de ticket de l’application Threat Intelligence vers le centre de sécurité Threat Intelligence.
Traiter l’ingestion de source de menace en attente Enregistrements de file d’attente	Traite les enregistrements de file d’attente d’ingestion source en attente.
Traiter les entités en file d’attente pour le calculateur de score de menace	Traite les entrées en attente de la file d’attente du calculateur de menace
Traiter les enregistrements de file d’attente DSM en MISP file d’attente	Traite les données en file d’attente MISP ingérées à partir du flux de menaces
Traiter les enregistrements de MISP file d’attente d’importation d’indicateur en file d’attente	Traite les données en file d’attente MISP ingérées à partir d’Import Intelligence
Traiter les enregistrements de file d’attente d’importation en file d’attente STIX : ingestion	Traite les données en file d’attente STIX ingérées à partir des flux de menaces.
Traiter les enregistrements de STIX file d’attente d’importation d’indicateur en file d’attente	Traite les données en file d’attente STIX ingérées à partir d’Import Intelligence
Traiter la file d’attente Webhook	Traite les enregistrements de file d’attente de webhooks en attente.
Réagrégater les enregistrements sources	Réagrège les enregistrements sources pour lesquels les enregistrements agrégés sont supprimés.
Supprimer l’enregistrement source filtré	Nettoie les enregistrements sources filtrés
Reprendre CrowdStrike l’intégration Traiter le vérificateur de processus / Retraiter CrowdStrike les enregistrements sources	Reprend les exécutions d’intégration de flux en attente de la limite de taux/Retraiter les CrowdStrike enregistrements sources pour l’agrégation des relations
Synchroniser le nombre d’observables de faux positif	Synchronise les nombres de faux positifs observables avec les nombres de faux positifs par source
TISC Créer des lots de webhooks	Lots créés pour les entrées de file d’attente de webhooks en file d’attente pour le traitement
TISC Déclencher des webhooks	Exécute les lots de webhooks en attente
Mise à jour de la relation Colonne archivée	Met à jour l’état de l’archivage des enregistrements source et cible de relation