観測事象の拡張を TISC に送信

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • セキュリティアナリストはこの機能を使用して、サイティング検索データを SIR から TISC にプッシュできます。アナリストは、TISC コンテキストを使用して、サイティング検索データが TISC に存在するかどうかを確認できます。存在しない場合は、必要に応じてデータをプッシュできます。

    始める前に

    必要なロール:sn_si.analyst

    手順

    1. SIR ワークスペースの [関連レコード] タブに移動して、TISC 統合機能アクションを実行します。
      注:
      • [調査] タブに移動し、ページの左側に表示される [エントリーポイントリスト] セクションに移動し、[関連する観測事象] を選択してプッシュ操作を実行することもできます。
      • [調査] タブで [関連情報を表示] をクリックして、選択した観測事象に関連するすべての脅威のルックアップ、サイティング検索、および拡張データを表示します。詳細については、「調査キャンバスの詳細」を参照してください。
    2. 選択 観察事項の拡張 > 観測事象のエンリッチメント結果 でプッシュ操作を実行し、手動でデータを TISC にプッシュします。
    3. 1 つ以上の観測事象レコードを選択し、[結果を TISC に送信 (Send Results to TISC)] 操作を実行してデータをプッシュします。
      観測事象の拡張を TISC に送信
    4. [結果を TISC に送信 (Send Results to TISC)] をクリックします。
      注:
      • 選択した観測事象が TISC に存在しない場合、最初に観測事象が観測事象ソースとして作成されます。その後、ソース観測事象により TISC 観測事象レコードが作成されると、観測事象レコードが、新たに作成された観測事象に自動的に関連付けられます。
      • 観測事象のプッシュ操作が実行されると、「観測事象 0.0.0.0 が TISC に正常にプッシュされました。TISC コンテキストタブに反映されるように変換されるまでに時間がかかる場合があります。」という情報メッセージが表示されます。
    5. [TISC コンテキスト] を選択します。
      観測事象のエンリッチメント結果
      注:
      :
      • SIR アプリケーションから TISC にプッシュされた観測事象が表示されます。
      • 手動でのプッシュ操作の場合:観測事象データは、セキュリティインシデントにリンクされている場合にのみプッシュできます。観測事象が SIR からプッシュされた場合、ソースは観測事象にリンクされているセキュリティインシデントのリファレンスを有することになり、これによりデータを識別できるようになります。
      • 自動でのプッシュ操作の場合:観測事象や拡張データは、セキュリティインシデントに関連付けられたときに自動的にプッシュされます。
      • TISC コンテキスト には、SIR に関連する観測事象がすべて表示されます。これらは、TISC にも存在するものとなります。
      • TISC コンテキストを使用すると、SIR アナリストが、脅威のルックアップ、サイティング検索、観測事象のエンリッチメント結果など、すべての TISC 拡張データを確認できるようになります。
      • [関連情報を表示] には、選択した観測事象における関連の観測事象拡張データがすべて表示されます。
    6. 結果を表示します。
    7. 任意の観測事象のエンリッチメント結果レコードをクリックして、フォームビューにレコードを表示します。このビューには、プッシュまたは取り込みタイプ (自動または手動) も表示され、ソースは脅威インテリジェンスセキュリティセンターになります。
      観測事象のエンリッチメント結果