Automatisierte Freigabe von IOC mit hohem Risiko für vertrauenswürdige Partner

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 1 Minute Lesedauer

    • Erfahren Sie, wie Sie die Freigabe von IOC mit hohem Risiko für vertrauenswürdige Partner automatisieren können.

    Vorbereitungen

    Erforderliche Rolle:
    • Systemadministrator (anzeigen, erstellen oder bearbeiten)
    • sn_sec_tisc.admin (Ansicht)

    Warum und wann dieser Vorgang ausgeführt wird

    Die automatisierte Freigabe von IOC mit hohem Risiko für vertrauenswürdige Partner wird nur ausgelöst, wenn:
    • Der Typ des erkennbaren Elements ist ein Domänenname, eine IPv4-Adresse oder eine IPv6-Adresse.
    • Das erkennbare Element befindet sich im Status „verarbeitet“.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Auswählen Automatisierte Flowsan.
    3. Wählen Sie Aus Automatisierte Freigabe von IOC mit hohem Risiko für vertrauenswürdige Partner Aktionslink zum Anzeigen der jeweiligen Regeldetails im Flow Designer.
    4. Zeigen Sie die Flow Designer-Aktion für die folgenden Auslöser an: 
      Daily at 12.00.00
Run every day once
    5. Aktionen :
      1. Suchen Sie nach dem Systemeigenschaftsdatensatz, und durchsuchen Sie den Schwellenwert für ausgehende Intelligenz: 
        Look Up System Property Record where (Name is sn_sec_tisc.shared_intelligence_entity_threshold).
      2. IOC-Typ = IP, Domäne, Hash; Reputation = böswillig; Konfidenz >= 80 oder Bedrohungspunktzahl >=80. 
        Look Up Observable Records where (Type is IP address (V4), or Type is IP address (V6), or Type is Domain Name, or Type is MD5 hash; and Confidence greater than 80, and Reputation is Malicious, and Processing Status is Processed, and Updated on Yesterday) IOC type = IP, Domain, Hash; Reputation = Malicious ; confidence >= 80 or Threat Score >=80.
    6. Wenn der Schwellenwert von Datensätzen, die dem ausgehenden Intelligence-Datensatz hinzugefügt werden können, erfüllt ist, gehen Sie folgendermaßen vor:
      1. Das System übergibt die Datensätze automatisch zur Verarbeitung an die Aktion Automated Outbound Intelligence.
      2. Beenden Sie den Flow für diese Freigabe von IOCs mit hohem Risiko für vertrauenswürdige Partner.
    7. Wenn die Datensatzanzahl größer als 0 ist, verarbeitet das System die verbleibenden Datensätze.
      Beispiel:

      Wenn der definierte Schwellenwert 1000 ist und insgesamt 2030 Datensätze verarbeitet werden sollen:

      • Ausgehender Intelligence-Datensatz Nr. 1 wird mit den ersten 1000 Datensätzen erstellt.
      • Ausgehender Intelligence-Datensatz Nr. 2 wird mit den nächsten 1000 Datensätzen erstellt.
      • Ausgehender Intelligence-Datensatz Nr. 3 wird mit den verbleibenden 30 Datensätzen erstellt.

      Dieser Batching-Prozess stellt sicher, dass der Schwellenwert eingehalten wird und gleichzeitig alle Intelligence-Datensätze effizient verarbeitet werden.

    8. Beenden Sie den Flow für diese Freigabe von IOCs mit hohem Risiko für vertrauenswürdige Partner.
      Automatisierte IOC-Anreicherung in TISC.