Ergänzung erkennbarer Elemente an TISC senden

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Mit dieser Funktion kann der Sicherheitsanalyst die Sichtungssuchdaten von SIR an TISC übertragen. Mithilfe des TISC-Kontexts kann der Analyst überprüfen, ob die Sichtungssuchdaten in TISC vorhanden sind. Wenn nicht, kann der Sicherheitsanalyst die Daten bei Bedarf veröffentlichen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren Sie im SIR-Arbeitsbereich zur Registerkarte Zugehörige Datensätze, um die Aktion für die TISC-Integrationsfunktion auszuführen.
      Hinweis:
      • Sie können auch zur Registerkarte Ermittlung und dann zum Abschnitt Einstiegspunktlisten navigieren, der auf der linken Seite angezeigt wird, und Zugehörige erkennbare Elemente auswählen, um den Veröffentlichungsvorgang auszuführen.
      • Klicken Sie auf der Registerkarte Ermittlungauf Zugehörige Informationen anzeigen, um alle zugehörigen Daten für die Bedrohungssuche, die Sichtungssuche und die Ergänzungsdaten für das ausgewählte erkennbare Element anzuzeigen. Weitere Informationen finden Sie unter Untersuchungs-Canvas erkunden.
    2. Auswahlvorgang Ergänzung erkennbarer Elemente > Erkennbare Elemente – Datenanreicherungs-Ergebnisse um den Veröffentlichungsvorgang auszuführen und die Daten manuell in TISC zu übertragen.
    3. Wählen Sie einen oder mehrere Datensätze erkennbarer Elemente aus, um den Vorgang „Ergebnisse an TISC senden“ auszuführen und die Daten zu übertragen.
      Ergänzung erkennbarer Elemente an TISC senden
    4. Klicken Sie auf Ergebnisse an TISC senden.
      Hinweis:
      • Wenn das ausgewählte erkennbare Element nicht in TISC vorhanden ist, wird es zuerst als erkennbare Quelle erstellt. Sobald das erkennbare Quellelement einen TISC-Datensatz für erkennbare Elemente erstellt, wird der erkennbare Datensatz automatisch dem neu erstellten erkennbaren Element zugeordnet.
      • Sobald der Push-Vorgang für erkennbare Elemente ausgeführt wurde, wird eine Informationsmeldung angezeigt, dass Observable 0.0.0.0 erfolgreich an TISC übertragen wurde. Es kann einige Zeit dauern, bis die Konvertierung in der TISC-Kontextregisterkarteenthalten ist.
    5. Wählen Sie TISC-Kontextaus.
      Datenanreicherungs-Ergebnisse für erkennbare Elemente
      Hinweis:
      :
      • Sie sehen jetzt das erkennbare Element, das von der SIR-Anwendung an TISC übertragen wird.
      • Bei einem manuellen Veröffentlichungsvorgang: Die Daten erkennbarer Elemente können nur übertragen werden, wenn sie mit den Security Incidents verknüpft sind. Sobald das erkennbare Element aus SIR übertragen wurde, können diese Daten mithilfe von Quellen identifiziert werden, die einen Verweis auf den mit dem erkennbaren Element verknüpften Security Incident enthalten.
      • Bei einem automatischen Push-Vorgang: Die erkennbaren Elemente oder Ergänzungsdaten werden automatisch übertragen, wenn sie einem Security Incident zugeordnet sind.
      • TISC-Kontext zeigt alle dem SIR zugeordneten erkennbaren Elemente an, die auch in TISC vorhanden sind.
      • Über den TISC-Kontext können SIR-Analysten alle TISC-Ergänzungsdaten anzeigen, einschließlich Bedrohungssuchen, Sichtungssuchen und Daten der Ergänzung erkennbarer Elemente.
      • „Zugeordnete Informationen anzeigen“ zeigt alle zugeordneten Ergänzungsdaten erkennbarer Elemente der ausgewählten erkennbaren Elemente an.
    6. Zeigen Sie die Ergebnisse an.
    7. Klicken Sie auf einen beliebigen Datenanreicherungs-Ergebnisdatensatz für erkennbare Elemente, um den Datensatz in der Formularansicht anzuzeigen. Dort wird auch der Push- oder Erfassungstyp (automatisch oder manuell) angezeigt, und die Quelle ist Threat Intelligence Security Center.
      Datenanreicherungs-Ergebnisse für erkennbare Elemente