Compartilhamento de registros do Inteligência de saída da GUI

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 8 min. de leitura

    • Esta seção descreve a funcionalidade que permite que os usuários compartilhem registros de inteligência diretamente da Biblioteca de Inteligência contra ameaças (TI) no TISC aplicação.

    Antes de Iniciar

    Função necessária:
    • sn_sec_tisc.analista
    • sn_sec_tisc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    O acesso aos modelos de compartilhamento é governado por várias restrições definidas em cada modelo. Essas restrições especificam se um modelo está disponível para todos os usuários ou limitado a usuários ou grupos de usuários específicos. Da mesma forma, somente os modelos permitidos por essas configurações ficarão visíveis quando os usuários iniciarem o. Compartilhar Inteligência processo.

    Somente usuários com função de analista podem compartilhar os dados de inteligência da GUI com os sistemas externos. O recurso de inteligência de compartilhamento também se aplica a várias outras entidades da biblioteca de inteligência contra ameaças, incluindo observáveis, indicadores e objetos, como padrões de ataque, agentes de ameaça e assim por diante.

    A seguir está o procedimento para compartilhar inteligência da exibição de formulário de registros de observáveis.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Biblioteca de informações sobre ameaças > Observáveis > Todos os observáveis.
    2. Abra qualquer registro de observável(s).
    3. Clique em Compartilhar Inteligência botão.
      A caixa de diálogo Selecionar modelo de inteligência de saída é exibida.
    4. Selecione o modelo de inteligência de saída necessário na pesquisa.
      Nota:
      O hiperlink Exibir inclusões de modelo padrão (tabelas e atributos) permite exibir todos os atributos incluídos.
    5. Marque a caixa de seleção Vincular automaticamente registros relacionados da inteligência selecionada também para vincular automaticamente os registros relacionados ao registro de compartilhamento e salvar os detalhes.
    6. Selecione Enviar.
      Depois de enviar os registros para compartilhamento de inteligência, somente os modelos acessíveis serão exibidos.
      1. Configurações de regras de exclusão de dados : Os registros serão excluídos se corresponderem aos critérios definidos em suas regras de exclusão de dados. Para obter mais informações, consulte Configuração da regra de exclusão de dados da Intel de saída.
      2. Controles de modelo de compartilhamento selecionados : Os registros são filtrados de acordo com os controles definidos nos modelos de compartilhamento selecionados. Para obter mais informações, consulte Configuração de modelos de compartilhamento Intel de saída.

      Com base nesses critérios de configuração, os registros relevantes serão excluídos do compartilhamento.

    7. Clique em Selecione para criar um registro de compartilhamento de inteligência de saída.
      Se necessário, faça as mudanças necessárias.
    8. Clique em Salvar para salvar os valores modificados no Dados de Inteligência de Saída formulário.
    9. Selecione Enviar para enviar o registro de compartilhamento para envio.
      Em Detalhes do registro de compartilhamento, a aplicação preenche automaticamente os valores configurados no Entradas pré-preenchidas Da página Modelos de compartilhamento da Intel de saída. Para obter mais informações, consulte Configuração de modelos de compartilhamento Intel de saída.
      Nota:
      A seguir estão as propriedades do sistema do registro de inteligência de saída.
      Nome Descrição
      shared_intelligence_entity_threshold Limite de registro: Esta propriedade controla o número máximo de registros individuais que podem ser incluídos em um único registro de inteligência de saída.
      • O limite padrão é de 1000 registros.
      • O limite máximo é de 10000 registros.
      shared_intelligence_exclusion_work_notes_count Limite de registros excluídos: Esta propriedade controla quantas linhas são exibidas por anotação de trabalho no fluxo de atividades.
      • Padrão: 10 linhas por anotação de trabalho.
      • Máximo: 100 linhas por anotação de trabalho.

      Se o número de linhas exceder o limite especificado, os registros serão divididos em várias anotações de trabalho para garantir a legibilidade e a experiência do usuário.
    10. Vá para Registros de inteligência seção.
      Esta seção exibe todos os registros de inteligência que fazem parte do registro de compartilhamento selecionado.
    Exibição da seção de registros de inteligência:
    Nota:
    A seção Registros de compartilhamento de inteligência só fica visível quando o registro de compartilhamento está em Rascunho estado e não visível se o registro de compartilhamento estiver em outros estados, como Processado , Aguardando aprovação e assim por diante.
    Você pode exibir a lista completa de observáveis, objetos e entidades relacionadas que são agrupados e compartilhados como parte do registro.
    Ao acessar Registros de compartilhamento de inteligência , você verá uma exibição estruturada de todas as entidades de inteligência associadas a esse registro, apresentada no painel lateral esquerdo da página.
    • Configuração do modelo : As tabelas de entidade exibidas nesta exibição são baseadas nos controles de compartilhamento definidos no modelo de compartilhamento associado ao registro de compartilhamento.
    • Agrupamento de entidades : O primeiro agrupamento de alto nível é observáveis. Você verá observáveis de nível secundário, como Arquivo, Endereço IP e outros tipos relevantes. Indicadores e objetos também são listados após Observáveis.
    • Relacionamentos : Exibe relacionamentos entre as entidades compartilhadas. Seis tipos diferentes de relacionamentos são representados, cada um organizado em sua tabela de relacionamento correspondente para clareza e estrutura.
    Nota:
    Mostre listas com pelo menos um registro é uma alternância disponível para filtrar e exibir rapidamente somente as tabelas de entidade que contêm dados.
    1. Clique em Editar Colunas para modificar as colunas de exibição de lista.
      . Selecione Colunas a caixa de diálogo é exibida, permitindo que você configure quais colunas serão mostradas na exibição de lista.
    2. Se você quiser modificar os detalhes dos registros, selecione Modificar registros .
      Ao selecionar esta ação, você pode modificar um ou mais registros. Se você estiver modificando um ou mais registros ou fazendo uma edição em massa, você terá permissão para modificar somente os campos opcionais do registro. Quando uma opção de edição em massa é selecionada, todos os valores nos campos são limpos e quando você fornece qualquer valor e. Salvar em seguida, esses valores são aplicáveis a todos os registros selecionados.
      Nota:
      As modificações feitas nos registros de entidade presentes na seção de registros de inteligência não são aplicadas aos registros da biblioteca correspondentes. Por exemplo, se você estiver modificando a descrição de um padrão de ataque, essa mudança terá qualquer impacto no padrão de ataque correspondente na biblioteca de inteligência contra ameaças.
    3. Clique em Adicionar para adicionar registros ao registro de compartilhamento e uma confirmação de que os registros selecionados foram adicionados com sucesso.
      Nota:
      Se as regras de exclusão estiverem configuradas para compartilhar registros, todos os registros selecionados que atenderem aos critérios de regras de exclusão serão ignorados automaticamente. Esses registros não serão adicionados aos registros de inteligência. Uma mensagem de erro apropriada é exibida para notificar o usuário e informações detalhadas sobre os registros excluídos serão registradas no Fluxo de atividades.
    4. Clique em Remover para remover os registros do registro de compartilhamento.
    5. Selecione Habilitar edição botão para ativar a edição dos registros de compartilhamento.
      Habilitar edição
      Nota:
      Para habilitar a Biblioteca de edição, certifique-se de configurar a biblioteca de edição. Para obter mais informações, consulte Trabalhando na Biblioteca de edição.

      Habilitar edição a opção permite remover ou mascarar automaticamente informações confidenciais editando conteúdo confidencial antes de compartilhar registros de inteligência. Habilitar a edição garante que os dados confidenciais sejam protegidos e não expostos durante o compartilhamento de inteligência.

      Depois de habilitar esta opção, o Biblioteca de edição o ícone aparece no menu contextual do lado direito, fornecendo acesso a uma lista de todas as categorias de edição disponíveis e valores de categoria de edição que são definidos na biblioteca de edição no Administração seção.

      Exemplo: Se você estiver editando um nome de organização, como Service_now e Service_now é adicionado como um valor de categoria de edição em Organization_Name e, em seguida, todas as ocorrências de Service_now será substituído usando o seguinte formato:

      Nº da [Organization_Name] .

      Ao habilitar a opção Redação, o sistema editará automaticamente o nome da organização antes de compartilhar. A captura de tela a seguir descreve o valor da categoria censurado.

      Valor da categoria de edição
    6. Vá para Revisão seção para revisar o registro de inteligência do registro de compartilhamento selecionado.
    7. Opcional: Selecione Desabilitar edição para desabilitar a edição dos registros de compartilhamento, se necessário.
    Revise os registros de inteligência
    1. Navegue até Revisão seção para revisar os registros no registro de compartilhamento.
      . Revisão as seções fornecem uma exibição de snapshot que resume todas as entidades incluídas no compartilhamento de inteligência. Os registros mostram o resumo rápido do seguinte:
      • Detalhes : Exibe os detalhes do registro de compartilhamento no modo somente leitura.
      • Atributos da entidade de compartilhamento : Exibe os controles de compartilhamento definidos no modelo de compartilhamento associado a um registro de compartilhamento.
      • Regras de exclusão : Exibe as regras de exclusão configuradas.
      • Biblioteca de edição : Exibe a biblioteca de edição configurada no Administração seção. Para obter mais informações, consulte Trabalhando na Biblioteca de edição.
    2. Faça as mudanças necessárias em Revisão e clique Enviar para envio.
      Uma mensagem de confirmação será exibida perguntando se você deseja enviar o registro para processamento. Se quiser prosseguir, selecione Enviar .

      Depois de enviar, o registro de compartilhamento de inteligência de saída Estado mudanças de Rascunho . Aguardando aprovação . . Estado foi alterado para Aguardando aprovação somente quando as regras de aprovação são configuradas para a inteligência de saída. Para obter mais informações, consulte Definição da regra de aprovação para Intel de saída.

    3. Selecione Aprovar botão para aprovar o registro de inteligência de saída.
    4. Adicione comentários, se necessário, e selecione Aprovar em Aprovar Inteligência de Saída caixa de diálogo.
    5. Selecione também Rejeitar botão para rejeitar o registro de inteligência de saída.
    6. Forneça um motivo e selecione Rejeitar em Rejeitar Inteligência de Saída caixa de diálogo.

      Depois que você rejeitar, o registro de compartilhamento de inteligência de saída Estado muda para Rejeitado .

      Nota:
      Selecione Editar e faça as mudanças necessárias com base nos comentários de rejeição. . Estado voltará para Rascunho quando você opta por editar os registros e reenviar.

      Se nenhuma regra de aprovação for definida ou se o registro já estiver aprovado, o registro de compartilhamento de inteligência de saída será movido para Aguardando processamento estado. Nesta fase, os dados de inteligência serão compartilhados externamente, após o qual o estado será atualizado para Processado . Para obter mais informações, consulte Definição da regra de aprovação para Intel de saída.

    7. Navegue até Trabalhos publicados para exibir os trabalhos publicados para o registro de compartilhamento.
      Para cada perfil de inteligência de saída, haverá um trabalho publicado e Status pode ser rastreado por meio desses trabalhos publicados.

      Para obter mais detalhes, ao clicar em qualquer um dos trabalhos publicados, os detalhes do trabalho serão exibidos, como Carga , Status e assim por diante.

      Se ocorrer um problema no lado do receptor ao enviar dados para o endpoint correspondente, a aplicação tentará novamente automaticamente até 5 vezes por padrão. Para mudar o número de tentativas de novas tentativas, você pode modificar o valor usando a seguinte propriedade do sistema:

      sn_sec_tisc.shared_intelligence_retry_count