Enviar aprimoramento de observável para TISC

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Usando este recurso, o analista de segurança pode enviar os dados de pesquisa de detecções do SIR para o TISC. Usando o contexto TISC, o analista pode verificar se os dados de pesquisa de detecções estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados por push sempre que necessário.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegue até a guia Registros relacionados no espaço SIR para executar a ação da capacidade de integração de TISC.
      Nota:
      • Você também pode navegar até a guia Investigação e navegar até a seção Listas de pontos de entrada exibida no lado esquerdo da página e selecionar Observáveis associados para executar a operação de envio.
      • Na guia Investigação, clique em Exibir informações associadas para exibir todas as pesquisas de ameaças associadas, pesquisa de detecções e dados de enriquecimento do observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
    2. Selecionar Aprimoramento de Observável > Resultados de enriquecimento observável para executar a operação de envio e enviar manualmente os dados para o TISC.
    3. Selecione um ou mais registros de observáveis para executar a operação Enviar resultados para TISC para enviar os dados por push.
      Enviar enriquecimento de observável para TISC
    4. Clique em Enviar resultados para TISC.
      Nota:
      • Se o observável selecionado não estiver presente no TISC, primeiro o observável será criado como origem de observável e, quando o observável de origem criar o registro de observável de TISC, o registro de observável será automaticamente associado ao observável recém-criado.
      • Depois que a operação de envio do observável é executada, uma mensagem informativa é exibida informando que o observável 0.0.0.0 foi enviado por push com sucesso para o TISC. Pode levar algum tempo para converter para refletir na guia de contexto de TISC.
    5. Selecione Contexto de TISC.
      Resultados de aprimoramento do observável
      Nota:
      :
      • Agora você verá o observável que é enviado por push para o TISC da aplicação SIR.
      • Em uma operação de envio manual: os dados do observável só podem ser enviados se estiverem vinculados aos incidentes de segurança. Depois que o observável é enviado do SIR, esses dados podem ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
      • Em uma operação de envio automático: os dados do observável ou de aprimoramento serão enviados automaticamente quando estiverem associados ao incidente de segurança.
      • O contexto do TISC mostra todos os observáveis associados ao SIR que também estão presentes no TISC.
      • Usando o contexto do TISC, os analistas do SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento do observável.
      • Exibir informações associadas mostrará todos os dados de aprimoramento do observável associado dos observáveis selecionados.
    6. Exibe os resultados.
    7. Clique em qualquer registro de resultados de aprimoramento de observável para exibir o registro na exibição do formulário, que também mostra o envio por push ou o tipo de ingestão (automático ou manual) e a origem será Central de segurança de inteligência contra ameaças.
      Resultados de aprimoramento do observável