Envoyer une recherche de menace à TISC

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • À l’aide de cette fonctionnalité, l’analyste de sécurité peut transmettre les données de recherche de menaces de SIR à TISC. À l’aide du contexte TISC, vous pouvez vérifier si les résultats de la recherche de menaces sont présents dans TISC. Dans le cas contraire, l’analyste de sécurité peut transmettre les données par push chaque fois que nécessaire.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à l’onglet Enregistrements connexes dans l’espace de travail SIR pour effectuer l’action d’aptitude d’intégration TISC.
      Remarque :
      • Vous pouvez également accéder à l’onglet Examiner , à la section Listes de points d’entrée affichée sur le côté gauche de la page et sélectionner Observables associés pour effectuer l’opération push.
      • Dans l’onglet Examiner , cliquez sur Afficher les informations associées pour afficher toutes les données de recherche de menaces, de recherche de perception et d’enrichissement associées à l’observable sélectionné. Pour plus d'informations, consultez Explorer le canevas d’examen.
    2. Sélectionner Connaissance de la menace > Résultats de la recherche de menace pour effectuer l’opération push et transmettre manuellement les données dans TISC.
    3. Sélectionnez un ou plusieurs enregistrements des résultats de la recherche de menace.
    4. Cliquez sur Envoyer les résultats à TISC.
      Envoyer les résultats à TISC
      Remarque :
      • Si l’observable de recherche de menace sélectionné n’est pas présent dans TISC, en mode manuel, l’observable est d’abord créé en tant que source d’observable, puis une fois que l’observable source a créé un enregistrement d’observable TISC, l’enregistrement de l’observable est automatiquement associé à l’observable nouvellement créé. En outre, la recherche de menaces sélectionnée sera également transmise à l’observable de recherche de menaces nouvellement créé en mode manuel.
      • En mode automatique, les observables ne seront pas transmis par push si l’observable est présent, les recherches de menaces seront alors transmises automatiquement. Si les observables ne sont pas présents, les recherches de menaces ne sont pas transmises.
    5. Un message de confirmation s’affiche que l’observable (1.9.78.242) pour l’enregistrement de recherche de menace sélectionné n’existe pas dans TISC. La création d’un observable et l’association automatique de l’enregistrement de recherche de menace observable dans TISC prennent un certain temps.
      Une fois traité et transmis, vous pouvez voir les résultats.
    6. Sélectionnez un contexte TISC.
      Remarque :
      :
      • Vous voyez maintenant l’observable qui est transmis à TISC à partir de l’application SIR.
        Contexte TISC
      • Dans le cas d’une opération push manuelle : les données observables ne peuvent être transmises par push que si elles sont liées aux incidents de sécurité. Une fois que l’observable est transmis par push depuis SIR, ces données peuvent être identifiées à l’aide de sources qui feront référence à l’incident de sécurité lié à l’observable.
      • Dans une opération push automatique : l’observable ou les données d’enrichissement sont automatiquement transmises lorsqu’elles sont associées à un incident de sécurité.
      • Le contexte TISC affiche tous les observables SIR associés qui sont également présents dans TISC.
      • En utilisant le contexte TISC, les analystes SIR peuvent voir toutes les données d’enrichissement TISC, y compris les recherches de menaces, la recherche de perception et les résultats d’enrichissement des observables.
      • Afficher les informations associées affiche toutes les données d’enrichissement observables associées des observables sélectionnés.
    7. La vue de liste affiche tous les résultats de la recherche de menaces. Cependant, sélectionnez n’importe quel enregistrement et cliquez sur le bouton Afficher les informations associées .
    8. Affichez les résultats de la recherche de menaces.
    9. Cliquez sur un enregistrement de résultats de recherche de menaces pour l’afficher dans la vue de formulaire, qui affiche également le type d’envoi ou d’ingestion (automatique ou manuelle) et la source sera Réponse aux incidents de sécurité.
      Afficher les résultats de la recherche de menaces