観測事象を TISC に送信

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • この機能を利用すると、セキュリティアナリストが観測事象データを SIR から TISC にプッシュできるようになります。TISC コンテキストを利用すると、観測事象が TISC に存在するかどうかを確認できます。存在しない場合は、セキュリティアナリストが必要に応じてデータをプッシュできます。

    始める前に

    必要なロール:sn_si.analyst

    手順

    1. SIR ワークスペースの [関連レコード] タブに移動して、TISC 統合機能アクションを実行します。
      注:
      • [調査] タブに移動し、ページの左側に表示される [エントリーポイントリスト] セクションに移動し、[関連する観測事象] を選択してプッシュ操作を実行することもできます。
      • [調査] タブで [関連情報を表示] をクリックして、選択した観測事象に関連する脅威のルックアップ、サイティング検索、拡張データをすべて表示します。詳細については、「調査キャンバスの詳細」を参照してください。
    2. たとえば、 Threat Intel > 関連する観測項目 でプッシュ操作を実行し、手動でデータを TISC にプッシュします。
    3. 観測事象レコードを 1 つ以上選択し、「観測事象を TISC に送信」の操作を実行してデータをプッシュします。
      SIR ワークスペース - 観測事象を TISC に送信
    4. [観測事象を TISC に送信] をクリックします。
      注:
      • 選択した観測事象が TISC に存在しない場合、最初に観測事象が観測事象ソースとして作成されます。その後、ソース観測事象により TISC 観測事象レコードが作成されると、観測事象レコードが、新たに作成された観測事象に自動的に関連付けられます。
      • 観測事象のプッシュ操作が実行されると、「観測事象 0.0.0.0 が TISC に正常にプッシュされました。TISC コンテキストタブに反映されるように変換されるまでに時間がかかる場合があります。」という情報メッセージが表示されます。
      TISC に「観測事象をプッシュ」の操作を送信
    5. [TISC コンテキスト] を選択します。
      注:
      :
      • SIR アプリケーションから TISC にプッシュされた観測事象が表示されます。
        観測事象の関連情報を表示します。
      • 手動でのプッシュ操作の場合:観測事象データは、セキュリティインシデントにリンクされている場合にのみプッシュできます。観測事象が SIR からプッシュされた場合、ソースは観測事象にリンクされているセキュリティインシデントのリファレンスを有することになり、これによりデータを識別できるようになります。
      • 自動でのプッシュ操作の場合:観測事象や拡張データは、セキュリティインシデントに関連付けられたときに自動的にプッシュされます。
      • TISC コンテキスト には、SIR に関連する観測事象がすべて表示されます。これらは、TISC にも存在するものとなります。
      • TISC コンテキストを使用すると、SIR アナリストが、脅威のルックアップ、サイティング検索、観測事象のエンリッチメント結果など、すべての TISC 拡張データを確認できるようになります。
      • [関連情報を表示] には、選択した観測事象における関連の観測事象拡張データがすべて表示されます。
    6. 結果を表示します。