Adicionar observáveis ao caso de TISC

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Adicione observáveis aos registros de caso de TISC.

    Antes de Iniciar

    Função necessária: sn_si.analyst, sn_sec_tisc.case_write

    Procedimento

    1. Navegar até Espaços > Espaço de resposta a incidentes de segurança > Incidentes de segurança > Todos.
    2. Localize e abra qualquer incidente de segurança específico que você esteja investigando.
      Isso também pode ser feito pesquisando o ID do incidente, navegando na seção Filtros rápidos ou filtrando pelo estado do incidente.
    3. Clique na guia Registros relacionados no espaço.
      Você pode executar a ação de adicionar observáveis a casos de TISC usando várias guias do espaço do Security Incident Response Workspace.
      Nota:
      Você pode navegar até o
      • Página de detalhes de observáveis na guia Registros relacionados.
      • Clique na guiaInvestigação e navegue até a seção Listas de pontos de entrada exibida no lado esquerdo da página e selecione Observáveis associados para adicionar observáveis ao caso de TISC.
    4. Por exemplo, selecione Inteligência sobre ameaça > Observáveis Associados.
    5. Selecione um ou vários observáveis para adicionar os observáveis selecionados aos registros de caso.
      Nota:
      Você também pode clicar em qualquer registro de observável e abrir a página de detalhes de observáveis em uma guia diferente. Você pode adicionar registros de caso aqui clicando em Adicionar ao caso de TISC.
    6. Clique no botão de divisão Ações de capacidade.
    7. Selecione Adicionar ao caso de TISC.
      Como adicionar observáveis ao caso de TISC
    8. Selecione o(s) caso(s) na caixa de diálogo Adicionar ao caso.
      Adicionar ao caso de TISC.
      Nota:
      Crie um novo caso de TISC se não houver registros de caso. Para obter mais informações sobre como criar caso(s), consulte Criação de casos usando o Workbench do analista de ameaças.
    9. Clique em Adicionar.
    10. Clique no registro de caso para exibir o caso no TISC na mensagem de informações exibida ou no fluxo de atividades.
      Nota:
      Se o observável não tiver um observável de TISC correspondente, o observável selecionado no espaço SIR será enviado para o TISC automaticamente e, posteriormente, será adicionado ao(s) registro(s) de caso de TISC selecionado(s). Para exibir os observáveis vinculados, clique no registro de caso específico no Fluxo de atividades. Ao clicar aqui, você será direcionado para o registro de caso no espaço de TISC e os observáveis serão adicionados na guia Artefatos do módulo Gestão de casos.

    Resultado

    Você enviou com sucesso os dados de observáveis para a gestão de casos da Central de segurança de inteligência contra ameaças.