このセクションを使用して、セキュリティインシデントや観測事象を TISC ケースに追加します。
始める前に
必要なロール:sn_si.analyst
手順
-
移動先 .
-
調査している特定のセキュリティインシデントを見つけて開きます。
これは、インシデント ID を検索するか、[クイックフィルター] セクションでフィルタリングする、またはインシデントステータスで参照することでも実行できます。
-
[TISC コンテキスト] タブを選択します。
-
[TISC ケースに追加] ボタンをクリックします。
[TISC ケースに追加] ダイアログボックスが表示され、レコードがまだ関連付けられていない TISC ケースのみが表示されます。
-
観測事象を選択します。
-
ケースを選択して [追加] をクリックし、ケースを観測事象に追加してセキュリティインシデントに関連付けます。
注: 既存のケースがない場合は、[新しい TISC ケースを作成] をクリックして新しいケースを作成することもできます。
次の確認メッセージが表示されます。
- 次の観測事象がアーティファクトとして正常に追加されました。
- 次の観測事象が TISC に送信され、選択した TISC ケースレコードに正常に追加されます。
注: 観測事象アクティビティの処理や関連付けは、関連付けの完了時にアクティビティストリームにポストされます。
-
脅威インテリジェンスセキュリティセンターのワークスペースにログインして、関連するケースレコードを表示し、手順を進めます。
詳細については、「
SIR ワークスペースとの TISC 統合」を参照してください。
注:
セキュリティインシデントレスポンスワークスペースで、
[調査] タブや
[関連レコード] タブから観測事象をケースレコードに関連付けることもできます。
注: [調査] から観測事象を関連付けるには、以下の手順に従い、
「関連レコード」の
観測事象を TISC ケースに追加 から関連付けます。また、
[調査] タブに移動し、ページの左側に表示される
[エントリーポイントリスト] セクションに移動し、
[関連する観測事象] を選択して、TISC ケースに観測事象を追加することもできます。