TISC에 옵저버블 보내기

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • 이 기능을 사용하여 보안 분석가는 옵저버블 데이터를 SIR에서 TISC로 푸시할 수 있습니다. TISC 컨텍스트를 사용하면 옵저버블이 TISC에 있는지 확인할 수 있으며, 그렇지 않은 경우 보안 분석가가 필요할 때마다 데이터를 푸시할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    프로시저

    1. SIR 작업 공간에서 관련 기록 탭으로 이동하여 TISC 통합 역량 작업을 수행합니다.
      주:
      • 조사 탭으로 이동하여 페이지 왼쪽에 표시된 엔트리포인트 목록 섹션으로 이동하고 연결된 옵저버블을 선택하여 푸시 작업을 수행할 수도 있습니다.
      • 조사 탭에서 관련 정보 보기를 클릭하여 선택한 옵저버블에 대한 모든 관련 위협 조회, 사이팅 검색 및 보강 데이터를 봅니다. 자세한 내용은 조사 캔버스 탐색 문서를 참조하십시오.
    2. 예를 들어 위협 인텔리전스 > 관련된 옵저버블 밀어넣기 작업을 수행하고 데이터를 TISC에 수동으로 푸시합니다.
    3. 수행할 옵저버블 기록을 하나 이상 선택하여 TISC에 옵저버블 전송 작업을 수행하여 데이터를 푸시합니다.
      SIR 작업 공간 - TISC에 옵저버블 보내기
    4. Send Observable to TISC를 클릭합니다.
      주:
      • 선택한 옵저버블이 TISC에 없는 경우 먼저 옵저버블이 옵저버블 소스로 생성된 다음, 소스 옵저버블이 TISC 옵저버블 기록을 생성하면 옵저버블 기록이 새로 생성된 옵저버블과 자동으로 연결됩니다.
      • 옵저버블 푸시 작업이 수행되면 옵저버블 0.0.0.0이 TISC로 성공적으로 푸시되었다는 정보 메시지가 표시됩니다 . TISC 컨텍스트 탭에 반영되도록 변환하는 데 시간이 걸릴 수 있습니다.
      TISC에 보내기 옵저버블 푸시 작업
    5. TISC 컨텍스트를 선택합니다.
      주:
      :
      • 이제 SIR 애플리케이션에서 TISC로 푸시된 옵저버블이 표시됩니다.
        옵저버블 관련 정보를 봅니다.
      • 수동 푸시 작업에서: 옵저버블 데이터는 보안 인시던트에 연결된 경우에만 푸시할 수 있습니다. 옵저버블이 SIR에서 푸시되면 옵저버블에 연결된 보안 인시던트에 대한 참조가 있는 소스를 사용하여 해당 데이터를 식별할 수 있습니다.
      • 자동 푸시 작업에서: 옵저버블 또는 보강 데이터는 보안 인시던트와 연결되면 자동으로 푸시됩니다.
      • TISC 컨텍스트 는 TISC에도 있는 모든 SIR 연결 옵저버블을 보여줍니다.
      • SIR 분석가는 TISC 컨텍스트를 사용하여 위협 조회, 사이팅 검색 및 옵저버블 보강 결과를 포함한 모든 TISC 보강 데이터를 볼 수 있습니다.
      • 연결된 정보 보기 에는 선택한 옵저버블의 연결된 모든 옵저버블 보강 데이터가 표시됩니다.
    6. 결과를 봅니다.