TISC ケースレコードに観測事象を追加します。
始める前に
必要なロール:sn_si.analyst、sn_sec_tisc.case_write
手順
-
移動先 .
-
調査している特定のセキュリティインシデントを見つけて開きます。
これは、インシデント ID を検索するか、[クイックフィルター] セクションから参照するか、インシデントステータスでフィルタリングすることによっても実行できます。
-
[関連レコード] タブをクリックします。
[セキュリティインシデントレスポンスワークスペース] のさまざまなタブを使用して、TISC ケースに観測事象を追加するアクションを実行できます。
注: 以下に移動できます
- [関連レコード] タブの [観測事象] 詳細ページ。
- [調査] タブから、ページの左側に表示される [エントリーポイントリスト] セクションに移動し、[関連する観測事象] を選択して、TISC ケースに観測事象を追加します。
-
たとえば、 .
-
1 つまたは複数の観測事象を選択して、選択した観測事象をケースレコードに追加します。
注: いずれかの観測事象レコードをクリックすると、別のタブで観測事象の詳細ページが開き、[TISC ケースに追加 (Add to TISC Case)] をクリックして、ここからケースレコードを追加することもできます。
-
[機能アクション] 分割ボタンをクリックします。
-
[TISC ケースに追加 (Add to TISC Case)] を選択します。
-
[ケースに追加 (Add to Case)] ダイアログボックスでケースを選択します。
-
[追加] をクリックします。
-
ケースレコードをクリックすると、表示された情報メッセージまたは [アクティビティ] ストリームから TISC にケースが表示されます。
注: 観測事象に対応する TISC 観測事象がない場合、SIR ワークスペースで選択した観測事象が自動的に TISC に送信され、その後、選択した TISC ケースレコードに追加されます。リンクされた観測事象を表示するには、 [アクティビティ] ストリームから特定のケースレコードをクリックします。これをクリックすると、TISC ワークスペースのケースレコードに移動し、ケース管理モジュールの [アーティファクト] タブに観察事項が追加されます。
タスクの結果
観測事象データを脅威インテリジェンスセキュリティセンターケースマネジメントに正常に送信できました。