Envoyer la recherche de perception à TISC

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Grâce à cette fonctionnalité, l’analyste de la sécurité peut transférer les données de recherche de perception de SIR vers TISC. À l’aide du contexte TISC, l’analyste peut vérifier si les données de recherche de perception sont présentes dans TISC, sinon l’analyste de sécurité peut transmettre les données par push chaque fois que nécessaire.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à l’onglet Enregistrements connexes dans l’espace de travail SIR pour effectuer l’action d’aptitude d’intégration TISC.
      Remarque :
      • Vous pouvez également naviguer vers l’onglet Examiner et naviguer vers la section Listes de points d’entrée affichée sur le côté gauche de la page et sélectionner les observables associés pour effectuer l’opération push.
      • Dans l’onglet Investigation , cliquez sur View Associated Info (Afficher les informations associées ) pour afficher toutes les données associées de recherche de menace, de recherche de perception et d’enrichissement pour l’observable sélectionné. Pour plus d'informations, consultez Explorer le canevas d’enquête.
    2. Sélectionner Recherche de perception > Résultats de recherche de perception pour effectuer l’opération push et pousser manuellement les données dans TISC.
    3. Sélectionnez un ou plusieurs enregistrements de résultats de recherche de perceptions.
      Recherche de perception
    4. Cliquez sur Envoyer les résultats à TISC.
      Remarque :
      • Si l’observable de recherche de perception sélectionné n’est pas présent dans TISC, l’observable est d’abord créé en mode manuel en tant que source d’observable, puis une fois que l’observable source crée un enregistrement d’observable TISC, l’enregistrement de l’observable est automatiquement associé à l’observable nouvellement créé. En outre, la recherche d’observation sélectionnée sera également transmise à l’observable de recherche de menaces nouvellement créé en mode manuel.
      • En mode automatique, les observables ne seront pas poussés si l’observable est présent, puis les recherches de menaces seront poussées automatiquement. Si les observables ne sont pas présents, les recherches de menaces ne sont pas poussées.
    5. Sélectionnez le contexte TISC.
      Contexte TISC : perceptions
      Remarque :
      :
      • Vous verrez maintenant l’observable qui est transmis par push à TISC à partir de l’application SIR.
      • Dans une opération push manuelle : les données observables ne peuvent être transmises que si elles sont liées aux incidents de sécurité. Une fois que l’observable est transmis par push à partir de SIR, ces données peuvent être identifiées à l’aide de sources qui font référence à l’incident de sécurité lié à l’observable.
      • Dans une opération push automatique : les données observables ou d’enrichissement sont poussées automatiquement lorsqu’elles sont associées à un incident de sécurité.
      • Le contexte TISC affiche tous les observables associés au SIR qui sont également présents dans TISC.
      • À l’aide du contexte TISC, les analystes SIR peuvent voir toutes les données d’enrichissement TISC, y compris les recherches de menaces, la recherche de perception et les résultats d’enrichissement des observables.
      • Afficher les informations associées affiche toutes les données d’enrichissement observable associées des observables sélectionnés.
    6. Une fois l’enregistrement traité, sélectionnez-le et cliquez sur Afficher les informations associées.
    7. Affichez les résultats.
    8. Cliquez sur n’importe quel enregistrement de résultats de recherche de perception pour afficher l’enregistrement dans la vue de formulaire, qui affiche également le type push ou d’ingestion (automatique ou manuel) et la source sera Centre de sécurité des renseignements sur les menaces.
      Recherche de perception : afficher les informations associées