Legen Sie Eigenschaften des Threat Intelligence-Sicherheitszentrums fest

  • Freigeben Version: Australia
  • Aktualisiert 21. April 2026
  • 7 Minuten Lesedauer

    • Überprüfen Sie die mit installierten Komponenten Threat Intelligence-Sicherheitszentrum Um die Rollen, Eigenschaften und anderen Elemente zu verstehen, die Ihrer Instanz hinzugefügt wurden.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Hinweis:
    Nur Anwender mit der Administratorrolle [sn_sec_tisc.admin] können sie ändern.

    Prozedur

    1. Navigieren Alle > Threat Intelligence-Sicherheitszentrum > Eigenschaftenan.
    2. Konfigurieren Die folgenden Eigenschaften nach Bedarf.
      Eigenschaft Beschreibung
      Eigenschaften für Threat Intelligence-Sicherheitszentrum
      Dadurch werden alle Korrelationsregeln deaktiviert. Wenn wir nur ausgewählte Korrelationsregeln deaktivieren müssen, verwenden Sie stattdessen das Feld „aktiv“ in der Korrelationsregel.

      sn_sec_tisc.disable_correlation_rules
      • Typ: true | false
      • Standardwert: false
      Diese Eigenschaft wird verwendet, um die Verarbeitung von Aggregaten in der Funktion zur Berechnung der Bedrohungsbewertung zu aktivieren/deaktivieren.

      sn_sec_tisc.aggregates_for_Calculator
      • Typ: true | false
      • Standardwert: true
      Die Anzahl der Zeilen mit Rohdaten, die gespeichert werden, wenn eine Sichtungssuche durchgeführt wird. Bereich 0 Bis 100

      sn_sec_tisc.Sighting_search_RAW_Data_rows
      • Typ: Ganzzahl
      • Standardwert: 50
      Ordnen Sie die Ergebnisse der Sichtungssuche den CIs in der CMDB zu.

      sn_sec_tisc.Associate_ci_with_Sighting_search
      • Typ: true | false
      • Standardwert: true
      Dadurch wird gesteuert, ob URLs aus Listen entsperrt werden oder nicht

      sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls
      • Typ: true | false
      • Standardwert: false
      Diese Eigenschaft aktiviert MITRE™ Technik(en), die automatisch zu Fällen aus den zugehörigen Objekten oder Security Incidents zusammengefasst werden soll.

      sn_sec_tisc.auto_rollup_mitre_data
      • Typ: true | false
      • Standardwert: true
      Bei „wahr“ werden alle Taktiken (einschließlich der Taktiken, denen keine Techniken mit dem Fall verknüpft sind) für angezeigt MITRE™ Listen, die im Bericht gerendert werden.

      sn_sec_tisc.Show_all_tactics_Reporting
      • Typ: true | false
      • Standardwert: true
      Sys-ID der E-Mail-Client-Vorlage für die Falltabelle (sn_sec_tisc_case), die in der Berichtfreigabe verwendet wird.

      sn_sec_tisc.Reporting_email_template_sn_sec_tisc_Case
      • Typ: Zeichenfolge
      • Standardwert : B55e22c54324021060eee0ea78b8f2df
      Die Standard-TLP-Ebene wird beim Erstellen eines neuen Datensatzes angewendet. Wenn im Formular nicht manuell festgelegt, wird dieser Wert verwendet.

      sn_sec_tisc.tlp_default_value
      • Typ: Auswahlliste
      • Standardwert : 955c9e5543d35110baf06e434ab8f2fb
      Protokollierungsebene – Debug, Info, Warnung, Fehler

      sn_sec_tisc.Logging.verbosity
      • Typ: Auswahlliste
      • Standardwert: Info
      Eigenschaften für Threat Intelligence-Feeds
      Maximale Zeit in Sekunden, die eine ausgehende HTTP-Verbindung auf den Abruf wartet TAXII Sammlungsdaten

      sn_sec_tisc.Taxii.http.max_timeout
      • Typ: Ganzzahl
      • Standardwert: 300
      Maximale Anzahl von Objekten, die in einem REST-Aufruf von abgerufen werden TAXII Server (gilt nur für TAXII Versionen 2,0 und 2,1)

      sn_sec_tisc.Taxii.max_page_size
      • Typ: Ganzzahl
      • Standardwert: 5.000
      Maximale Anzahl von Wiederholungen für einen fehlgeschlagen TAXII2. X-REST-Aufruf

      sn_sec_tisc.taxii2.retry_count
      • Typ: Ganzzahl
      • Standardwert: 3
      Maximale Anzahl von Objekten, die in einem REST-Aufruf von Cyware abgerufen wurden TAXII Server

      sn_sec_tisc.Cyware_Taxii.max_page_size
      • Typ: Ganzzahl
      • Standardwert: 1.000
      Hinweis:
      Gibt die Seitengröße an, die beim Abrufen von Daten aus verwendet wird TAXII Sammlungen im Zusammenhang mit der Cyware TAXII Feed.

      Für alle anderen TAXII Sammlungen, die Seitengröße, die von abgerufen wurde TAXII Für die Sammlung wird standardmäßig der in der entsprechenden Eigenschaft definierte Wert verwendet: [ sn_sec_tisc.taxii.max_page_size ].
      Anzahl der Datensätze, die gleichzeitig abgerufen werden sollen CrowdStrike. Je höher die Zahl, desto mehr Arbeitsspeicher würde für die Verarbeitung der Nutzlast verbraucht.

      sn_sec_tisc.crowdstrike_api_limit
      • Typ: Ganzzahl
      • Standardwert: 1.000
      Gibt die Anzahl der Indikatoren an, die in einem einzelnen API-Aufruf abgerufen werden sollen.
      Hinweis:
      Dies gilt nur, wenn die Integration die erforderlichen nicht im System findet.

      sn_sec_tisc.crowdstrike_indicator_Batch_size
      • Typ: Ganzzahl
      • Standardwert: 1.000
      Gibt die Anzahl der Akteure an, die in einem einzelnen API-Aufruf abgerufen werden sollen.
      Hinweis:
      Dies gilt nur, wenn die Integration die erforderlichen nicht im System findet.

      sn_sec_tisc.crowdstrike_actor_Batch_size
      • Typ: Ganzzahl
      • Standardwert: 1.000
      Gibt die Anzahl der Berichte an, die in einem einzelnen API-Aufruf abgerufen werden sollen.
      Hinweis:
      Dies gilt nur, wenn die Integration die erforderlichen nicht im System findet.

      sn_sec_tisc.crowdstrike_Report_Batch_size
      • Typ: Ganzzahl
      • Standardwert: 50
      Die zulässige Summe von Offset und Grenzwert von CrowdStrike API.

      sn_sec_tisc.crowdstrike_Offset_limit_total
      • Typ: Ganzzahl
      • Standardwert : 50000
      Eigenschaften für REST APIs
      Definiert die maximale Seitengröße (maximale Anzahl von erkennbaren Elementen, die als Teil der Antwort zurückgegeben werden) für die API zum Abrufen erkennbarer Elemente. Es wird nicht empfohlen, den Wert auf einen hohen Wert zu erhöhen, da dies sich auf die API-Antwortzeit auswirken kann.

      sn_sec_tisc.api_Maximum_page_size_limit
      • Typ: Ganzzahl
      • Standardwert: 1.000
      Definiert die maximale Anzahl von erkennbaren Elementen, die im Anforderungstext für die API zum Hinzufügen erkennbarer Elemente gesendet werden können. Es wird nicht empfohlen, den Wert auf einen hohen Wert zu erhöhen, da dies sich auf die API-Antwortzeit auswirken kann.

      sn_sec_tisc.add_obs_api_max_Records
      • Typ: Ganzzahl
      • Standardwert: 100
      Eigenschaften für Webhooks
      Maximale Anzahl von Ereignissen, die als Teil einer Webhook-Anforderung gesendet werden sollen. Die Batchgröße ist auf 2000 beschränkt, auch wenn in dieser Eigenschaft ein höherer Wert festgelegt ist.

      sn_sec_tisc.Webhook_max_event_Batch_size
      • Typ: Ganzzahl
      • Standardwert: 100
      Gibt an, wie oft eine fehlgeschlagene Anforderung wiederholt werden soll, bevor sie als Fehler markiert und mit dem nächsten Ereignisbatch fortgefahren wird. Die Anzahl der Wiederholungen ist auf 10 beschränkt, auch wenn in dieser Eigenschaft eine höhere Zahl festgelegt ist.

      sn_sec_tisc.Webhook_retry_count
      • Typ: Ganzzahl
      • Standardwert: 100
      Anzahl der Sekunden, die gewartet werden soll, bevor ein fehlgeschlagener Batch erneut versucht wird. Dies erhöht sich exponentiell basierend auf der Anzahl der Wiederholungen. Beispiel: Wenn „retry_count“ 3 und „retry_interval“ 30 ist, werden Wiederholungen nach 30, 60 und 120 Sekunden ausgelöst Das anfängliche Wiederholungsintervall ist auf 300 Sekunden beschränkt, auch wenn in dieser Eigenschaft ein höherer Wert festgelegt ist.

      sn_sec_tisc.Webhook_retry_interval
      • Typ: Ganzzahl
      • Standardwert: 30
      Durch erneute Anwendung der Bedrohungsbewertung ausgelöste Webhook-Ereignisse ignorieren

      sn_sec_tisc.Webhook_ignore_Threat_Score_reapply
      • Typ: true | false
      • Standardwert: true
      Eigenschaften für Untersuchungs-Canvas
      Wenn Sie den Wert auf „true“ festlegen, werden neue Knoten in der linken oberen Ecke hinzugefügt. Bei „false“ fügt sie der Mitte des Canvas hinzu.

      sn_sec_tisc.canvas_suspend_reLayout
      • Typ: true | false
      • Standardwert: true
      Eigenschaften für Export in CTI-Formaten
      Maximale Anzahl von Zeilen, die in exportiert werden können STIX Datei 2,1

      sn_sec_tisc.stix_Export_limit
      • Typ: Ganzzahl
      • Standardwert: 10.000
      Schließen Sie Felder vom Typ „Journal“ in die Exportdatei ein.

      sn_sec_tisc.Export_Journal_fields
      • Typ: true | false
      • Standardwert: true
      Eigenschaften für Threat Intelligence-Freigabe
      Aktiviert oder deaktiviert die Groß-/Kleinschreibung für die Anwendung der Schwärzung für freigegebene intel.

      (Standardmäßig ist der Wert „falsch“, was bedeutet, dass bei der Schwärzung die Groß-/Kleinschreibung nicht beachtet wird.)

      Hinweis:
      Wenn Sie den Wert dieser Eigenschaft von „falsch“ in „wahr“ oder „wahr“ in „falsch“ ändern, WERDEN alle Daten aus der Schwärzungskategorie sowie der Wertetabelle GELÖSCHT.

      sn_sec_tisc.case_sensitive_for_redaction
      • Typ: true | false
      • Standardwert: false
      Maximale Anzahl von Zeilen, die in der Schwärzungs-Upload-Datei zulässig sind.

      sn_sec_tisc.max_redaction_rows_Import
      • Typ: Ganzzahl
      • Standardwert: 10.000
      Titel des ausgehend TAXII Server

      sn_sec_tisc.taxii_server_discovery_api_title
      • Typ: Zeichenfolge
      • Standardwert : ServiceNow-TAXII-Server
      Beschreibung von ausgehend TAXII Server

      sn_sec_tisc.taxii_server_discovery_api_description
      • Typ: Zeichenfolge
      • Standardwert : Discovery-Endpunkt für die Freigabe von Cyberbedrohungsinformationen über TAXII
      Titel des ausgehend TAXII Server-Standard-API-Stamm

      sn_sec_tisc.taxii_server_api_root_title
      • Typ: Zeichenfolge
      • Standardwert : ServiceNow-TAXII-Server
      Beschreibung von ausgehend TAXII Server-Standard-API-Stamm

      sn_sec_tisc.taxii_server_api_root_description
      • Typ: Zeichenfolge
      • Standardwert : SAPI-Stammendpunkt für die Freigabe von Cyberbedrohungsinformationen über TAXII
      Standardseitengröße von TAXII Server-API-Antwort

      sn_sec_tisc.taxii_server_api_response_page_limit
      • Typ: Ganzzahl
      • Standardwert: 100
      Maximale Anzahl von Datensätzen, die einem ausgehend hinzugefügt werden können TAXII Serversammlung

      sn_sec_tisc.Taxii_Server_Collection_Record_limit
      • Typ: Ganzzahl
      • Standardwert: 10.000
      Die maximale Anzahl von Entitäten, die einer TAXII-Sammlung in einem einzelnen „Hinzufügen zu“ hinzugefügt werden können TAXII Anforderung „Sammlung“. Das System erzwingt einen festen Grenzwert von 10.000 Entitäten pro Anforderung, unabhängig von einem höheren konfigurierten Wert.

      sn_sec_tisc.add_to_taxii_collection_entity_threshold
      • Typ: Ganzzahl
      • Standardwert: 1.000
      Eigenschaften für Tagging-Regeln
      Aktiviert oder deaktiviert den Abgleich zwischen Groß- und Kleinschreibung von Stichwörtern oder Tagging-Regeln für reguläre Ausdrücke (standardmäßig ist diese Option deaktiviert (Nein), was bedeutet, dass bei Übereinstimmungen zwischen Groß- und Kleinschreibung unterschieden wird).

      sn_sec_tisc.case_sensitive_for_tagging_rules
      • Typ: true | false
      • Standardwert: false
    3. Wählen Sie Aus Speichern Zum Anwenden der an den Eigenschaften vorgenommenen Änderungen.

    Nächste Maßnahme

    Weitere Informationen finden Sie in den geplanten Aufgaben, die in der folgenden Tabelle beschrieben sind:
    Auftrag Beschreibung
    Datensätze Der Aggregatindikatorquelle Fasst Indikatorquelldatensätze zusammen.
    Aggregatobjektquelldatensätze Fasst Objektquelldatensätze zusammen.
    Fassen Sie Quelldatensätze Erkennbarer Elemente Zusammen Fasst Quelldatensätze erkennbarer Elemente zusammen.
    Bereinigung veralteter Importe Bereinigt veraltete Importauftragsdatensätze.
    Bereinigung nicht verwendeter neuer Knoten von Canvas Bereinigt nicht verwendete neue Knoten von Canvas.
    Bereinigen Sie Datensätze Für Sicheren Dateidownload Bereinigt sichere Dateidownload-Datensätze.
    Deduplizieren Sie Indikatorquelldatensätze Dedupliziert Indikatorquelldatensätze.
    Deduplizieren Sie Objektquelldatensätze Dedupliziert Objektquelldatensätze.
    Deduplizieren Sie Quelldatensätze erkennbarer Elemente Dedupliziert Quelldatensätze erkennbarer Elemente.
    Deaktivieren Sie Abgelaufene Indikatoren Deaktiviert abgelaufene Indikatordatensätze.
    Deaktivieren Sie Abgelaufene Objekte Deaktiviert abgelaufene Objektdatensätze.
    Deaktivieren Sie Abgelaufene Erkennbare Elemente Deaktiviert abgelaufene Datensätze erkennbarer Elemente
    Migrieren Sie Daten von TI zu TISC Verarbeitet ausstehende Datensätze zur Ausführung des Migrationsauftrags
    Füllen Sie zusammengefasste Datensätze für Indikatorquelldatensätze aus Gibt den übergeordneten zusammengefassten Datensatz für neu erstellte Indikatorquelldatensätze an
    Füllen Sie zusammengefasste Datensätze für Objektquelldatensätze aus Gibt den übergeordneten zusammengefassten Datensatz für neu erstellte Objektquelldatensätze an.
    Füllen Sie zusammengefasste Datensätze für Quelldatensätze erkennbarer Elemente aus Gibt den übergeordneten zusammengefassten Datensatz für neu erstellte Quelldatensätze erkennbarer Elemente an.
    Füllen Sie Aus TISC Referenz in TI Füllt die Referenz von aus TISC Aggregiertes erkennbares Element im Datensatz des erkennbaren TI-Elements.
    Genehmigte Importe Verarbeiten Verarbeitet genehmigte Importaufträge.
    Prozess Importiert MISP Dsm-Warteschlangendatensätze Verarbeitet bereitgestellt MISP Datensätze der Feed-Erfassungswarteschlange.
    Prozess Importiert MISP Indikatorimport-Warteschlangendatensätze Prozesse bereitgestellt MISP Daten, die aus Import Intelligence erfasst wurden
    Prozess Importiert STIX Importieren Sie Warteschlangendatensätze Prozesse bereitgestellt STIX Daten, die aus Import Intelligence erfasst wurden
    Prozess Importiert STIX Warteschlangendatensätze Importieren: Erfassung Prozesse bereitgestellt STIX Daten, die aus Bedrohungs-Feeds erfasst wurden.
    Verarbeiten Sie Die Migration Ausstehender Fallartefakte Migriert Fallartefakte aus der Threat Intelligence-Anwendung zum Threat Intelligence-Sicherheitszentrum.
    Verarbeiten Sie Datensätze der Warteschlange für ausstehende Bedrohungsquellen Verarbeitet Datensätze der ausstehenden Quellerfassungswarteschlange.
    Verarbeiten Sie Entitäten In Der Warteschlange Für Den Rechner Der Bedrohungsbewertung Verarbeitet ausstehende Bedrohungsrechner-Warteschlangeneinträge
    Prozess In Warteschlange MISP Dsm-Warteschlangendatensätze Prozesse in Warteschlange MISP Daten aus Bedrohungs-Feed erfasst
    Prozess In Warteschlange MISP Indikatorimport-Warteschlangendatensätze Prozesse in Warteschlange MISP Daten, die aus Import Intelligence erfasst wurden
    Prozess In Warteschlange STIX Warteschlangendatensätze Importieren: Erfassung Prozesse in Warteschlange STIX Daten, die aus Bedrohungs-Feeds erfasst wurden.
    Prozess In Warteschlange STIX Indikatorimport-Warteschlangendatensätze Prozesse in Warteschlange STIX Daten, die aus Import Intelligence erfasst wurden
    Webhook-Warteschlange Verarbeiten Verarbeitet ausstehende Webhook-Warteschlangendatensätze.
    Fassen Sie Quelldatensätze Erneut Zusammen Fasst Quelldatensätze neu zusammen, für die zusammengefasste Datensätze gelöscht werden.
    Entfernen Sie den gefilterten Quelldatensatz Bereinigt gefilterte Quelldatensätze
    Fortsetzen CrowdStrike Integrationsprozessüberprüfung/-Erneute Verarbeitung CrowdStrike Quelldatensätze Wird Fortgesetzt CrowdStrike Feed-Integration wird ausgeführt, die auf Quotenlimit warten/Quelldatensätze erneut verarbeiten, um Beziehungen zusammenzufassen
    Anzahl Der Falsch Positiven Erkennbaren Elemente Synchronisieren Synchronisiert die Anzahl der falsch positiven erkennbaren Elemente mit der Anzahl der Flase-positiven Elemente pro Quelle
    TISC Erstellen Sie Webhook-Batches Batches für Webhook-Warteschlangeneinträge in der Warteschlange zur Verarbeitung erstellt
    TISC Webhooks Auslösen Führt ausstehende Webhook-Batches aus
    Archivierte Beziehungsspalte Wird Aktualisiert Aktualisiert den Archivstatus der Beziehungsquellen- und Zieldatensätze