Interne Intelligenzdatensätze anzeigen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Zeigen Sie die Datensätze für interne Intelligenz an, die von CMDB, Security Incident Response (SIR) und Vulnerability Response (VR) gesammelt wurden.

    Vorbereitungen

    Der Abschnitt „Interne Intelligenz“ bietet den Kontext aus anderen Anwendungen der Plattform wie SIR, VR und CMDB, um den Analysten eine breitere Perspektive der Bedrohung zu bieten.

    Erforderliche Rolle: sn_sec_tisc.analyst

    Hinweis:
    Die Registerkarte „Interne Intelligenz“ ist nur für erkennbare Elemente und Schwachstellenobjekte sichtbar.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Threat Intel-Bibliothek > Erkennbare Elemente > Alle erkennbaren Elemente.
    2. Wählen Sie einen beliebigen Datensatz eines erkennbaren Elements aus.
    3. Wechseln Sie zur Registerkarte Interne Intelligenz.
      Der Abschnitt „Interne Intelligenz“ besteht aus drei Unterabschnitten wie „Security Incident Response“, „Geschäftskontext“ und „Vulnerability Response“.
      Hinweis:
      Sie müssen die entsprechenden Anwendungen auf Ihrer Instanz installiert haben, damit diese Abschnitte auf der Registerkarte „Internal Intelligence“ aufgeführt werden.
      1. Security Incident Response: Zeigt alle Incidents an, die mit den zugehörigen erkennbaren Elementen und angreifbaren Elementen verknüpft sind.
        Hinweis:
        Der Wert für erkennbare Elemente muss zwischen dem SIR-Incident und auch innerhalb von TISC übereinstimmen. Nur dann werden die zugehörigen erkennbaren Elemente oder Indikatoren im Abschnitt „Reaktion auf Security Incidents“ aufgeführt. Sie können die Datensätze auch verknüpfen und die Verknüpfung aufheben, indem Sie in den Quellsystemen nach Datensätzen suchen. Weitere Informationen finden Sie unter Zugehörige Datensätze zu Bedrohungsinformationen verknüpfen.
        • Wählen Sie einen beliebigen Datensatz aus, um im Quellsystem zu navigieren und die Details anzuzeigen. Beispiel: Zugeordnete erkennbare Elemente in Security Incident Response, um die Datensätze der zugehörigen erkennbaren Elemente abzurufen.
        • Im Rahmen des aktuellen Release können Sie die folgenden Intelligenzdaten aus den Quelldatensätzen (SIR) abrufen:
          • Zugehörige erkennbare Elemente
          • Angreifbare Elemente
      2. Geschäftskontext: Zeigt die betroffenen Anwender und alle anderen Configuration Items an. Im Rahmen des aktuellen Release können Sie die folgenden Intelligenzdaten aus den Quelldatensätzen (Geschäftskontext) abrufen:
        • Konfigurationselemente
        • Betroffene Services
        • Betroffene Assets
      3. Vulnerability Response: Zeigt die Schwachstellen-Intelligenzdaten an.

        Schwachstelleneinträge: Diese Option entspricht den Schwachstellen und ruft die zugehörigen Datensätze ab.