Enviar pesquisa de ameaças para TISC

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Usando este recurso, o analista de segurança pode enviar os dados de pesquisa de ameaças do SIR para o TISC. Usando o contexto de TISC, você pode verificar se os resultados da pesquisa de ameaças estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados por push sempre que necessário.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegue até a guia Registros relacionados no espaço SIR para executar a ação da capacidade de integração de TISC.
      Nota:
      • Você também pode navegar até a guia Investigação e navegar até a seção Listas de pontos de entrada exibida no lado esquerdo da página e selecionar Observáveis associados para executar a operação de envio.
      • Na guia Investigação, clique em Exibir informações associadas para exibir todas as pesquisas de ameaças associadas, pesquisa de detecções e dados de enriquecimento do observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
    2. Selecionar Inteligência sobre ameaça > Resultados da Pesquisa de ameaças para executar a operação de envio e enviar manualmente os dados para o TISC.
    3. Selecione um ou mais registros de resultados de pesquisa de ameaças.
    4. Clique em Enviar resultados para TISC.
      Enviar resultados para TISC
      Nota:
      • Se o observável de pesquisa de ameaças selecionado não estiver presente no TISC, no modo manual, primeiro o observável será criado como origem de observável e, quando o observável de origem criar o registro de observável de TISC, o registro de observável será automaticamente associado ao observável recém-criado. Além disso, a pesquisa de ameaças selecionada também será enviada para o observável de pesquisa de ameaças recém-criado no modo manual.
      • Em um modo automático, os observáveis não serão enviados se o observável estiver presente, então as pesquisas de ameaças serão enviadas automaticamente. Se os observáveis não estiverem presentes, as pesquisas de ameaças não serão enviadas por push.
    5. É exibida uma mensagem de confirmação de que O observável (1.9.78.242) para o registro de pesquisa de ameaças selecionado não existe no TISC. Levará algum tempo para criar um observável e associar automaticamente o registro de pesquisa de ameaças do observável no TISC.
      Depois que isso for processado e enviado por push, você poderá ver os resultados.
    6. Selecione Contexto de TISC.
      Nota:
      :
      • Agora você verá o observável que é enviado por push para o TISC da aplicação SIR.
        Contexto do TISC
      • Em uma operação de envio manual: os dados do observável só podem ser enviados se estiverem vinculados aos incidentes de segurança. Depois que o observável é enviado do SIR, esses dados podem ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
      • Em uma operação de envio automático: os dados do observável ou de aprimoramento serão enviados automaticamente quando estiverem associados a um incidente de segurança.
      • O contexto do TISC mostra todos os observáveis associados ao SIR que também estão presentes no TISC.
      • Usando o contexto do TISC, os analistas do SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento do observável.
      • Exibir informações associadas mostrará todos os dados de aprimoramento do observável associado dos observáveis selecionados.
    7. A exibição de lista mostra todos os resultados da pesquisa de ameaças, no entanto, selecione qualquer registro e clique no botão Exibir informações associadas.
    8. Exibir os resultados da pesquisa de ameaças.
    9. Clique em qualquer registro de resultados de pesquisa de ameaças para exibir o registro na exibição do formulário, que também mostra o envio por push ou o tipo de ingestão (automático ou manual) e a origem será o Security Incident Response.
      Exibir resultados da pesquisa de ameaças