Enviar pesquisa de detecções para TISC

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Usando este recurso, o analista de segurança pode enviar os dados de pesquisa de detecções do SIR para o TISC. Usando o contexto TISC, o analista pode verificar se os dados de pesquisa de detecções estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados por push sempre que necessário.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegue até a guia Registros relacionados no espaço SIR para executar a ação da capacidade de integração de TISC.
      Nota:
      • Você também pode navegar até a guia Investigação e navegar até a seção Listas de pontos de entrada exibida no lado esquerdo da página e selecionar Observáveis associados para executar a operação de envio.
      • Na guia Investigação, clique em Exibir informações associadas para exibir todas as pesquisas de ameaças associadas, pesquisa de detecções e dados de enriquecimento do observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
    2. Selecionar Pesquisa de detecções > Resultados da pesquisa de detecções para executar a operação de envio e enviar manualmente os dados para o TISC.
    3. Selecione um ou mais registros de Resultados da pesquisa de detecções.
      Pesquisa de detecções
    4. Clique em Enviar resultados para TISC.
      Nota:
      • Se o observável de pesquisa de detecções selecionado não estiver presente no TISC, no modo manual, primeiro o observável será criado como origem de observável e, depois que o observável de origem criar o registro de observável de TISC, o registro de observável será automaticamente associado ao observável recém-criado. Além disso, a pesquisa de detecções selecionada também será enviada para o observável de pesquisa de ameaças recém-criado no modo manual.
      • Em um modo automático, os observáveis não serão enviados se o observável estiver presente, então as pesquisas de ameaças serão enviadas automaticamente. Se os observáveis não estiverem presentes, as pesquisas de ameaças não serão enviadas por push.
    5. Selecione Contexto de TISC.
      Contexto de TISC - Detecções
      Nota:
      :
      • Agora você verá o observável que é enviado por push para o TISC da aplicação SIR.
      • Em uma operação de envio manual: os dados do observável só podem ser enviados se estiverem vinculados aos incidentes de segurança. Depois que o observável é enviado do SIR, esses dados podem ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
      • Em uma operação de envio automático: os dados do observável ou de aprimoramento serão enviados automaticamente quando estiverem associados ao incidente de segurança.
      • O contexto do TISC mostra todos os observáveis associados ao SIR que também estão presentes no TISC.
      • Usando o contexto do TISC, os analistas do SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento do observável.
      • Exibir informações associadas mostrará todos os dados de aprimoramento do observável associado dos observáveis selecionados.
    6. Depois que o registro for processado, selecione-o e clique em Exibir informações associadas.
    7. Exibe os resultados.
    8. Clique em qualquer registro de resultados de pesquisa de detecções para exibir o registro na exibição do formulário, que também mostra o envio por push ou o tipo de ingestão (automático ou manual) e a origem será a Central de segurança de inteligência contra ameaças.
      Pesquisa de detecções - Exibir informações associadas