このセクションを使用して、セキュリティインシデントまたは観測事象を TISC ケースに追加します。
始める前に
必要なロール:sn_si.analyst
手順
-
移動先 .
-
調査している特定のセキュリティインシデントを見つけて開きます。
これは、インシデント ID を検索するか、[ クイックフィルター ] セクションを使用してフィルタリングするか、インシデントステータスを参照することによっても実行できます。
-
[TISC コンテキスト] タブを選択します。
-
[ TISC ケースに追加] ボタンを選択します。
[TISC ケースに追加] ダイアログボックスが表示され、レコードがまだ関連付けられていない TISC ケースのみが表示されます。
-
観測事象を選択します。
-
ケースを選択して [ 追加 ] を選択し、ケースを観測事象に追加してセキュリティインシデントに関連付けます。
注: 既存のケースがない場合は、[ 新しい TISC ケースを作成] を選択してケースを作成することもできます。
次の確認メッセージが表示されます。
- 次の観測事象がアーティファクトとして正常に追加されました。
- 次の観測事象が TISC に送信され、その後、選択した TISC ケースレコードに追加されます。
注: 観測事象アクティビティの処理や関連付けは、関連付けの完了時にアクティビティストリームにポストされます。
-
さらに手順を実行するには、ワークスペースにログインして関連するケースレコード 脅威インテリジェンスセキュリティセンター 表示します。
詳細については、「
TISC と SIR ワークスペース との統合」を参照してください。
注:
セキュリティインシデントレスポンスワークスペース から、[
調査] タブおよび
[関連レコード] タブから観測事象をケースレコードに関連付けることもできます。
注: 調査から観測事象を関連付けるには、次の手順に従い、
観測事象を TISC ケースに追加ここで説明されている
関連レコードから関連付けます。[
調査] タブに移動し、ページの左側に表示される
[エントリーポイントリスト] セクションに移動し、[
関連する観測事象] を選択してケース
TISC観測事象を追加することもできます。