Funktions-Flow zur TISC-Datenverarbeitung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Das Threat Intelligence-Sicherheitszentrum (TISC) bietet eine Lösung, die die Datenerfassung und -verarbeitung automatisiert und so die Belastung der Threat Intel-Analysten verringert, indem manuelle Schritte vermieden werden.

    Das Threat Intelligence Security Center (TISC) sammelt Informationen mit einer der folgenden Methoden:

    1. Erfassung aus Datenquellen, die vorkonfiguriert sind und nach einem Zeitplan ausgeführt werden.
    2. Threat Intel-Analysten importieren Daten mithilfe der Funktion „Import Intelligence“.
    3. Durch manuelle Erstellung einzelner Datensätze in der Anwendung
      Hinweis:
      Die in der Anwendung gesammelten Daten werden verarbeitet, um die Informationen vor dem Laden in die Threat Intel-Bibliothek zu normalisieren, zu deduplizieren und zusammenzufassen.

    Grundlegende Begriffe aus der Datenverarbeitung

    1. Quelltabellen: Die Quelltabellen enthalten die Daten, die sich auf die Entitäten beziehen, die aus mehreren Quellen abgerufen werden. Dann werden die Datensätze von jeder Quelle erstellt.
    2. Aggregierte Datensätze: Die Tabelle „Aggregierte Datensätze“ enthält die Daten, die sich auf eine bestimmte Entität beziehen, indem die Daten aus allen Quelldatensätzen einer bestimmten Entität aggregiert werden.

    TISC-Datenfluss

    1. Bei einer erfolgreichen Ausführung des Imports der Intelligenz/Datenquelle würden die Datensätze in den entsprechenden Quelltabellen erstellt.
    2. Sobald Daten in der Quelltabelle eingehen, durchlaufen die Daten eine Filterlogik, um zu validieren, ob der Datensatz basierend auf den konfigurierten eingehenden Filterregelngefiltert werden sollte. (Angenommen, SourceRecord1 ist der Quelldatensatz für unsere Erklärung.)
    3. Wenn der Datensatz von einer der konfigurierten eingehenden Filterregeln gefiltert wird, wird der entsprechende Quelldatensatz (SourceRecord1) als Gefiltert markiert, und die Regel, die den Datensatz gefiltert hat, finden Sie unter Angewendete Filterregel.
    4. Angenommen, der Quelldatensatz (SourceRecord1) wird zu AggregateRecord1 zusammengefasst.
    5. Wenn der Datensatz nicht gefiltert wird, wird der Datensatz für die Deduplizierung markiert, indem der Verarbeitungsstatus auf Bereit für Deduplizierung festgelegt wird.
    6. Die Deduplizierungslogik validiert Folgendes:
      1. Gibt an, ob der eingehende Quelldatensatz (SourceRecord1) ein Duplikat eines vorhandenen Quelldatensatzes für AggregateRecord1 ist.
      2. Jeder der vorhandenen Quelldatensätze für AggregateRecord1 ist ein Duplikat des eingehenden Quelldatensatzes (SourceRecord1).
    7. Jede Entität verfügt über bestimmte Felder und Beziehungen, auf deren Grundlage der Quelldatensatz für die Duplizierung validiert wird.
    8. Wenn der eingehende Quelldatensatz (SourceRecord1) ein Duplikat eines vorhandenen Quelldatensatzes von AggregateRecord1 ist, wird der eingehende Quelldatensatz (SourceRecord1) als Duplikat markiert.
    9. Wenn einer der vorhandenen Quelldatensätze (Vorhandener Quelldatensatz1) von „AggregateRecord1“ als Duplikat des eingehenden Quelldatensatzes (SourceRecord1) identifiziert wird, wird der vorhandene Quelldatensatz (Vorhandener Quelldatensatz1) als Duplikat markiert, und der eingehende Quelldatensatz (SourceRecord1) wird für die Zusammenfassung markiert durch Festlegen des Verarbeitungsstatus auf „Bereit für Zusammenfassung“.
    10. Im Rahmen der Zusammenfassung werden die Felder des aggregierten Datensatzes „AggregateRecord1“ basierend auf Werten aus mehreren Quelldatensätzen aktualisiert und gemäß den im System definierten vordefinierten Kriterien aggregiert.
    Datenverarbeitung in TISC