Freigabe ausgehender Intelligence-Datensätze aus der GUI

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 7 Minuten Lesedauer

    • In diesem Abschnitt wird die Funktionalität beschrieben, mit der Anwender Intelligence-Datensätze direkt aus der Threat Intelligence-Bibliothek (TI) in freigeben können TISC Anwendung.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_sec_tisc.Analyst
    • sn_sec_tisc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Zugriff auf die Freigabevorlagen unterliegt mehreren Einschränkungen, die in jeder Vorlage definiert sind. Diese Einschränkungen geben an, ob eine Vorlage für alle Anwender verfügbar oder auf bestimmte Anwender oder Anwendergruppen beschränkt ist. Dementsprechend sind nur die in diesen Einstellungen zulässigen Vorlagen sichtbar, wenn Anwender initiieren Intelligence Freigeben Prozess.

    Nur Anwender mit einer Analystenrolle können die Intelligence-Daten aus der GUI für externe Systeme freigeben. Die Funktion „Intelligenz freigeben“ gilt auch für die verschiedenen anderen Entitäten der Threat Intelligence-Bibliothek, einschließlich erkennbarer Elemente, Indikatoren und Objekte wie Angriffsmuster, Bedrohungsakteure usw.

    Im Folgenden finden Sie das Verfahren zum Freigeben von Informationen aus der Formularansicht von Datensätzen erkennbarer Elemente.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Threat Intel-Bibliothek > Erkennbare Elemente > Alle erkennbaren Elementean.
    2. Öffnen Sie einen Datensatz für erkennbare Elemente.
    3. Klicken Sie auf Intelligence Freigeben Schaltfläche.
      Das Dialogfeld Vorlage für ausgehende Intelligenz auswählen wird angezeigt.
    4. Wählen Sie die erforderliche Vorlage für ausgehende Intelligenz aus der Suche aus.
      Hinweis:
      Mit dem Hyperlink „Standardvorlageneinbindungen anzeigen“ (Tabellen und Attribute) können Sie alle enthaltenen Attribute anzeigen.
    5. Aktivieren Sie das Kontrollkästchen Verknüpfen Sie automatisch auch zugehörige Datensätze der ausgewählten Intelligenz Um die zugehörigen Datensätze automatisch mit dem Freigabedatensatz zu verknüpfen und die Details zu speichern.
    6. Wählen Sie Absenden.
      Nachdem Sie die Datensätze zur Freigabe von Intelligenzen übermittelt haben, werden nur die zugänglichen Vorlagen angezeigt.
      1. Konfigurationen von Datenausschlussregeln : Datensätze werden ausgeschlossen, wenn sie den in Ihren Datenausschlussregeln definierten Kriterien entsprechen. Weitere Informationen finden Sie unter Konfigurieren Der Ausschlussregel Für Ausgehende Intel-Daten.
      2. Ausgewählte Steuerungen für Freigabevorlagen : Datensätze werden gemäß den Steuerungen gefiltert, die in den ausgewählten Freigabevorlagen definiert sind. Weitere Informationen finden Sie unter Konfigurieren Von Vorlagen Für Ausgehende Intel-Freigabe.

      Basierend auf diesen Konfigurationskriterien werden die relevanten Datensätze von der Freigabe ausgeschlossen.

    7. Klicken Sie Auf Wählen Sie Aus Dient zum Erstellen eines Datensatzes für ausgehende Intelligence-Freigabe.
      Nehmen Sie bei Bedarf die erforderlichen Änderungen vor.
    8. Klicken Sie Auf Speichern Zum Speichern der geänderten Werte in Ausgehende Intelligence-Daten Formular.
    9. Wählen Sie Aus Übermitteln Um den Freigabedatensatz zur Übermittlung zu übermitteln.
      In Details Abschnitt des Freigabedatensatzes füllt die Anwendung automatisch die Werte aus, die in konfiguriert sind Vorab Ausgefüllte Eingaben Der Seite „Vorlagen für ausgehende Intel-Freigabe“. Weitere Informationen finden Sie unter Konfigurieren Von Vorlagen Für Ausgehende Intel-Freigabe.
      Hinweis:
      Im Folgenden sind die Systemeigenschaften für den ausgehenden Intelligence-Datensatz aufgeführt.
      Name Beschreibung
      Shared_Intelligence_Entity_threshold Schwellenwert für Datensatz: Diese Eigenschaft steuert die maximale Anzahl einzelner Datensätze, die in einem einzelnen ausgehenden Intelligence-Datensatz enthalten sein können.
      • Der Standardwert beträgt 1000 Datensätze.
      • Der Höchstwert beträgt 10000 Datensätze.
      Shared_Intelligence_Exclusion_work_Notes_count Grenzwert für ausgeschlossene Datensätze: Diese Eigenschaft steuert, wie viele Zeilen pro Arbeitsnotiz im Aktivitätenstrom angezeigt werden.
      • Standard: 10 Zeilen pro Arbeitsnotiz.
      • Maximal: 100 Zeilen pro Arbeitsnotiz.

      Wenn die Anzahl der Zeilen den angegebenen Grenzwert überschreitet, werden die Datensätze auf mehrere Arbeitsnotizen aufgeteilt, um die Lesbarkeit und die Anwender-Experience sicherzustellen.
    10. Wechseln Sie zu Intelligence-Datensätze Abschnitt.
      In diesem Abschnitt werden alle Intelligence-Datensätze angezeigt, die Teil des ausgewählten Freigabedatensatzes sind.
    Abschnitt „Intelligence-Datensätze“ anzeigen:
    Hinweis:
    Der Abschnitt „Datensätze zur intelligenten Freigabe“ ist nur sichtbar, wenn sich der Freigabedatensatz im befindet Entwurf status und nicht sichtbar, wenn sich der Freigabedatensatz in einem anderen status befindet, z. B. Verarbeitet , Warten Auf Genehmigung Und so weiter.
    Sie können die vollständige Liste der erkennbaren Elemente, Objekte und zugehörigen Entitäten anzeigen, die als Teil des Datensatzes gruppiert und gemeinsam genutzt werden.
    Wenn Sie auf zugreifen Datensätze Zur Intelligenten Freigabe Abschnitt sehen Sie eine strukturierte Ansicht aller mit diesem Datensatz verknüpften Intelligence-Entitäten, die im linken Seitenbereich der Seite angezeigt werden.
    • Vorlagenkonfiguration : Die in dieser Ansicht angezeigten Entitätstabellen basieren auf den Freigabesteuerungen, die in der Freigabevorlage definiert sind, die dem Freigabedatensatz zugeordnet ist.
    • Entitätsgruppierung : Die erste Gruppierung auf hoher Ebene ist erkennbare Elemente. Außerdem werden erkennbare Elemente auf untergeordneter Ebene wie Datei, IP-Adresse und andere relevante Typen angezeigt. Indikatoren und Objekte werden auch nach erkennbaren Elementen aufgelistet.
    • Beziehungen : Zeigt Beziehungen zwischen den freigegebenen Entitäten an. Es werden sechs verschiedene Arten von Beziehungen dargestellt, die jeweils in der entsprechenden Beziehungstabelle organisiert sind, um Klarheit und Struktur zu gewährleisten.
    Hinweis:
    Listen mit mindestens einem Datensatz anzeigen Ist ein Umschalter verfügbar, um schnell nur die Entitätstabellen zu filtern und anzuzeigen, die Daten enthalten.
    1. Klicken Sie Auf Bearbeiten Sie Spalten Zum Ändern der Listenansichtsspalten.
      Die Wählen Sie Spalten Aus Das Dialogfeld wird angezeigt, mit dem Sie konfigurieren können, welche Spalten in der Listenansicht angezeigt werden.
    2. Wenn Sie außerdem die Details der Datensätze ändern möchten, wählen Sie aus Datensätze Ändern .
      Wenn Sie diese Aktion auswählen, können Sie einen oder mehrere Datensätze ändern. Angenommen, Sie können nur die optionalen Felder des Datensatzes ändern, wenn Sie einen oder mehrere Datensätze ändern oder eine Massenbearbeitung durchführen. Wenn eine Massenbearbeitungsoption ausgewählt ist, werden alle Werte in den Feldern gelöscht, und wenn Sie einen Wert und angeben Speichern Dann gelten diese Werte für alle ausgewählten Datensätze.
      Hinweis:
      Alle Änderungen, die an den Entitätsdatensätzen vorgenommen werden, die im Abschnitt „Intelligenzdatensätze“ vorhanden sind, werden nicht auf die entsprechenden Bibliotheksdatensätze angewendet. Wenn Sie beispielsweise die Beschreibung für ein Angriffsmuster ändern, hätte diese Änderung Auswirkungen auf das entsprechende Angriffsmuster in der Threat Intelligence-Bibliothek.
    3. Klicken Sie Auf Hinzufügen Um dem Freigabedatensatz Datensätze hinzuzufügen, wird eine Bestätigung angezeigt, dass die ausgewählten Datensätze erfolgreich hinzugefügt wurden.
      Hinweis:
      Wenn Ausschlussregeln für die Freigabe von Datensätzen konfiguriert sind, werden alle ausgewählten Datensätze, die die Kriterien für Ausschlussregeln erfüllen, automatisch übersprungen. Diese Datensätze werden den Intelligence-Datensätzen nicht hinzugefügt. Eine entsprechende Fehlermeldung wird angezeigt, um den Anwender zu benachrichtigen, und detaillierte Informationen zu den ausgeschlossenen Datensätzen werden im Aktivitätenstrom aufgezeichnet.
    4. Klicken Sie Auf Entfernen Um die Datensätze aus dem Freigabedatensatz zu entfernen.
    5. Wählen Sie Aus Aktivieren Sie Die Schwärzung Schaltfläche zum Aktivieren der Schwärzung für die freigegebenen Datensätze.
      Schwärzung aktivieren
      Hinweis:
      Um die Schwärzungsbibliothek zu aktivieren, müssen Sie die Schwärzungsbibliothek konfigurieren. Weitere Informationen finden Sie unter Bearbeitung der Schwärzungsbibliothek.

      Aktivieren Sie Die Schwärzung Mit der Option können Sie vertrauliche Informationen automatisch entfernen oder maskieren, indem Sie vertrauliche Inhalte schwärzen, bevor Sie Intelligence-Datensätze freigeben. Durch Aktivieren der Schwärzung wird sichergestellt, dass vertrauliche Daten während der Freigabe von Intelligenzen geschützt und nicht zugänglich gemacht werden.

      Sobald Sie diese Option aktiviert haben, wird die Schwärzungsbibliothek Das Symbol wird im rechten Kontextmenü angezeigt und bietet Zugriff auf eine Liste aller verfügbaren Schwärzkategorien und Schwärzkategoriewerte, die in der Schwärzungsbibliothek in definiert sind Verwaltung Abschnitt.

      Beispiel: Wenn Sie einen Organisationsnamen schwärzen, z. B. Service_Now , Und Service_Now Wird als Schwärzkategoriewert unter hinzugefügt Organization_Name Kategorie, dann alle Vorkommen von Service_Now Wird mit dem folgenden Format ersetzt:

      #{Organization_Name}# .

      Durch Aktivieren der Option „Schwärzen“ schwärzt das System den Organisationsnamen vor der Freigabe automatisch. Der folgende Screenshot zeigt den geschwärzten Kategoriewert.

      Schwärzungskategoriewert
    6. Wechseln Sie zu Überprüfen Abschnitt zum Überprüfen des Intelligence-Datensatzes des ausgewählten Freigabedatensatzes.
    7. Wahlweise: Wählen Sie Aus Deaktivieren Sie Die Schwärzung Zum Deaktivieren der Schwärzung für die freigegebenen Datensätze bei Bedarf.
    Überprüfen Sie Intelligence-Datensätze
    1. Navigieren Sie zu Überprüfen Abschnitt zum Überprüfen der Datensätze im Freigabedatensatz.
      Die Überprüfen Abschnitte bieten eine Snapshot-Ansicht, die alle Entitäten zusammenfasst, die in der Intelligence-Freigabe enthalten sind. Die Datensätze zeigen die schnelle Zusammenfassung der folgenden Elemente:
      • Details : Zeigt die Details des freigegebenen Datensatzes im schreibgeschützten Modus an.
      • Entitätsattribute Freigeben : Zeigt die Freigabesteuerungen an, die in der Freigabevorlage definiert sind, die einem Freigabedatensatz zugeordnet ist.
      • Ausschlussregeln : Zeigt die konfigurierten Ausschlussregeln an.
      • Schwärzungsbibliothek : Zeigt die Schwärzungsbibliothek an, die in konfiguriert ist Verwaltung Abschnitt. Weitere Informationen finden Sie unter Bearbeitung der Schwärzungsbibliothek.
    2. Nehmen Sie die erforderlichen Änderungen unter vor Überprüfen Abschnitt und klicken Sie auf Übermitteln Zur Übermittlung.
      Eine Bestätigungsnachricht wird angezeigt, die Sie auffordert, den Datensatz zur Verarbeitung zu übermitteln. Wenn Sie fortfahren möchten, wählen Sie aus Übermitteln .

      Sobald Sie die Übermittlung abgeschlossen haben, werden die Datensätze der ausgehenden Freigabe von Intelligenzen verwendet Status Ändert sich von Entwurf Bis Warten Auf Genehmigung . Die Status Wird in geändert Warten Auf Genehmigung Nur, wenn die Genehmigungsregeln für die ausgehende Intelligenz konfiguriert sind. Weitere Informationen finden Sie unter Definieren der Genehmigungsregel für ausgehende Intel.

    3. Wählen Sie Aus Genehmigen Schaltfläche zum Genehmigen des ausgehenden Intelligence-Datensatzes.
    4. Fügen Sie bei Bedarf Kommentare hinzu, und wählen Sie aus Genehmigen Auf der Genehmigen Sie Ausgehende Intelligence Dialogfeld.
    5. Wählen Sie auch aus Ablehnen Schaltfläche zum Ablehnen des ausgehenden Intelligence-Datensatzes.
    6. Geben Sie einen Grund an, und wählen Sie aus Ablehnen Auf der Lehnt Ausgehende Intelligence Ab Dialogfeld.

      Sobald Sie die Ablehnung vorgenommen haben, werden die Datensätze der ausgehenden Intelligence-Freigabe angezeigt Status Ändert sich in Abgelehnt .

      Hinweis:
      Wählen Sie Aus Bearbeiten Schaltfläche und nehmen Sie die erforderlichen Änderungen basierend auf den Ablehnungskommentaren vor. Die Status Wird zurück zu verschoben Entwurf Wenn Sie die Datensätze bearbeiten und erneut übermitteln möchten.

      Wenn keine Genehmigungsregel definiert ist oder der Datensatz bereits genehmigt ist, wird der Datensatz für die ausgehende gemeinsame Nutzung von Intelligenzen in verschoben Warten Auf Verarbeitung status. In dieser Phase werden die Intelligence-Daten extern freigegeben, danach wird der Status auf aktualisiert Verarbeitet . Weitere Informationen finden Sie unter Definieren der Genehmigungsregel für ausgehende Intel.

    7. Navigieren Sie zu Veröffentlichte Aufträge Zum Anzeigen der veröffentlichten Aufträge für den Freigabedatensatz.
      Für jedes Profil für ausgehende Intelligenz gibt es einen veröffentlichten Auftrag und den Status Kann durch diese veröffentlichten Aufträge nachverfolgt werden.

      Wenn Sie auf einen der veröffentlichten Aufträge klicken, werden die Details des Auftrags angezeigt, z. B. Nutzlast , Status , Und so weiter.

      Wenn beim Senden von Daten an den entsprechenden Endpunkt auf der Empfängerseite ein Problem auftritt, versucht die Anwendung standardmäßig bis zu 5 Mal automatisch erneut. Um die Anzahl der Wiederholungsversuche zu ändern, können Sie den Wert mit der folgenden Systemeigenschaft ändern:

      sn_sec_tisc.Shared_Intelligence_retry_count