脅威のルックアップを TISC に送信

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • セキュリティアナリストは、この機能を使用して、脅威のルックアップデータを SIR から TISC にプッシュできます。TISC コンテキストを使用すると、脅威のルックアップの結果が TISC に存在するかどうかを確認できます。存在しない場合は、セキュリティアナリストは必要なときにいつでもデータをプッシュできます。

    始める前に

    必要なロール:sn_si.analyst

    手順

    1. SIR ワークスペースの [関連レコード] タブに移動して、TISC 統合機能アクションを実行します。
      注:
      • [調査] タブに移動し、ページの左側に表示される [エントリーポイントリスト] セクションに移動し、[関連する観測事象] を選択してプッシュ操作を実行することもできます。
      • [調査] タブで [関連情報を表示] をクリックして、選択した観測事象に関連するすべての脅威のルックアップ、サイティング検索、および拡張データを表示します。詳細については、「調査キャンバスの詳細」を参照してください。
    2. 選択 Threat Intel > 脅威情報ルックアップの結果 でプッシュ操作を実行し、手動でデータを TISC にプッシュします。
    3. 1 つ以上の [脅威のルックアップの結果] レコードを選択します。
    4. [結果を TISC に送信 (Send Results to TISC)] をクリックします。
      結果を TISC に送信
      注:
      • 選択した脅威のルックアップの観測事象が TISC に存在しない場合、手動モードでは、最初に観測事象が観測事象ソースとして作成されます。その後、ソース観測事象が TISC 観測事象レコードを作成すると、観測事象レコードが新しく作成された観測事象に自動的に関連付けられます。また、選択した脅威のルックアップも、手動モードで新しく作成された脅威のルックアップの観測事象にプッシュされます。
      • 自動モードでは、観測事象が存在する場合、観測事象はプッシュされず、脅威のルックアップが自動的にプッシュされます。観測事象が存在しない場合、脅威のルックアップはプッシュされません。
    5. [選択した脅威のルックアップレコードの観測事象 (1.9.78.242) が TISC に存在しません。観測事象が作成され、TISC で観測事象の脅威のルックアップレコードが自動的に関連付けられるまでには、しばらく時間がかかります。(The observable (1.9.78.242) for the selected threat lookup record does not exist in TISC. It will take sometime to create observable and to automatically associate the observable threat lookup record in TISC.)] という確認メッセージが表示されます。
      これが処理されてプッシュされると、結果を確認できます。
    6. [TISC コンテキスト] を選択します。
      注:
      :
      • SIR アプリケーションから TISC にプッシュされた観測事象が表示されます。
        TISC コンテキスト
      • 手動でのプッシュ操作の場合:観測事象データは、セキュリティインシデントにリンクされている場合にのみプッシュできます。観測事象が SIR からプッシュされた場合、ソースは観測事象にリンクされているセキュリティインシデントのリファレンスを有することになり、これによりデータを識別できるようになります。
      • 自動でのプッシュ操作の場合:観測事象や拡張データは、セキュリティインシデントに関連付けられたときに自動的にプッシュされます。
      • TISC コンテキストには、SIR に関連する観測事象がすべて表示されます。これらは、TISC にも存在するものとなります。
      • TISC コンテキストを使用すると、SIR アナリストが、脅威のルックアップ、サイティング検索、観測事象のエンリッチメント結果など、すべての TISC 拡張データを確認できるようになります。
      • [関連情報を表示] には、選択した観測事象における関連の観測事象拡張データがすべて表示されます。
    7. リストビューにはすべての脅威のルックアップの結果が表示されますが、任意のレコードを選択して [関連情報を表示] ボタンをクリックします。
    8. 脅威のルックアップの結果を表示します。
    9. 任意の脅威のルックアップの結果レコードをクリックして、フォームビューにレコードを表示します。このビューには、プッシュまたは [取り込みタイプ] ([自動] または [手動]) も表示され、[ソース] はセキュリティインシデントレスポンスになります。
      脅威のルックアップの結果を表示