Envoyer des observables à TISC

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • À l’aide de cette fonctionnalité, l’analyste de sécurité peut transférer les données des observables de SIR vers TISC. À l’aide du contexte TISC, vous pouvez vérifier si les observables sont présents dans TISC. Dans le cas contraire, l’analyste de sécurité peut transmettre les données par push chaque fois que nécessaire.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à l’onglet Enregistrements connexes dans l’espace de travail SIR pour effectuer l’action d’aptitude d’intégration TISC.
      Remarque :
      • Vous pouvez également accéder à l’onglet Examiner , à la section Listes de points d’entrée affichée sur le côté gauche de la page et sélectionner Observables associés pour effectuer l’opération push.
      • Sous l’onglet Examiner , cliquez sur Afficher les informations connexes pour afficher toutes les données de recherche de menaces, de recherche de perception et d’enrichissement associées pour l’observable sélectionné. Pour plus d'informations, consultez Explorer le canevas d’examen.
    2. Par exemple, sélectionnez Connaissance de la menace > Observables associés pour effectuer l’opération push et transmettre manuellement les données dans TISC.
    3. Sélectionnez un ou plusieurs enregistrements d’observables pour effectuer l’opération Envoyer l’observable à TISC afin de transmettre les données par push.
      Espace de travail SIR : envoyer un observable à TISC
    4. Cliquez sur Envoyer l’observable à TISC.
      Remarque :
      • Si l’observable sélectionné n’est pas présent dans TISC, l’observable est d’abord créé en tant que source d’observable. Une fois que l’observable source a créé un enregistrement d’observable TISC, l’enregistrement de l’observable est automatiquement associé à l’observable nouvellement créé.
      • Une fois l’opération push d’observable effectuée, un message d’information s’affiche indiquant que l’observable 0.0.0.0 est transmis avec succès à TISC. La conversion pour refléter dans l’onglet de contexte TISC peut prendre un certain temps.
      Envoyer à TISC Opération d’observable push
    5. Sélectionnez un contexte TISC.
      Remarque :
      :
      • Vous voyez maintenant l’observable qui est transmis à TISC à partir de l’application SIR.
        Affichez les informations associées aux observables.
      • Dans le cas d’une opération push manuelle : les données observables ne peuvent être transmises par push que si elles sont liées aux incidents de sécurité. Une fois que l’observable est transmis par push depuis SIR, ces données peuvent être identifiées à l’aide de sources qui feront référence à l’incident de sécurité lié à l’observable.
      • Dans une opération push automatique : l’observable ou les données d’enrichissement seront automatiquement transmises lorsqu’ils seront associés à un incident de sécurité.
      • Le contexte TISC affiche tous les observables SIR associés qui sont également présents dans TISC.
      • En utilisant le contexte TISC, les analystes SIR peuvent voir toutes les données d’enrichissement TISC, y compris les recherches de menaces, la recherche de perception et les résultats d’enrichissement des observables.
      • Afficher les informations associées affiche toutes les données d’enrichissement observables associées des observables sélectionnés.
    6. Affichez les résultats.