Bedrohungssuche an TISC senden

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Mit dieser Funktion kann der Sicherheitsanalyst die Bedrohungssuchdaten von SIR an TISC übertragen. Mit dem TISC-Kontext können Sie überprüfen, ob die Ergebnisse der Bedrohungssuche in TISC vorhanden sind. Andernfalls kann der Sicherheitsanalysten die Daten jederzeit veröffentlichen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren Sie zu Zugehörige Datensätze Registerkarte im SIR-Arbeitsbereich, um die Aktion „TISC-Integrationsfähigkeit“ auszuführen.
      Hinweis:
      • Sie können auch zu navigieren Untersuchung Und navigieren Sie zu Einstiegspunktlisten Abschnitt, der auf der linken Seite angezeigt wird, und wählen Sie aus Zugeordnete Erkennbare Elemente Zum Durchführen des Push-Vorgangs.
      • Auf der Untersuchung Klicken Sie auf die Registerkarte Zeigen Sie Zugehörige Informationen An Zum Anzeigen aller zugehörigen Bedrohungssuche-, Sichtungs- und Ergänzungsdaten für das ausgewählte erkennbare Element. Weitere Informationen finden Sie unter Untersuchungs-Canvas Erkunden.
    2. Auswahlvorgang Bedrohungsinformationen > Bedrohungssuche – Ergebnisse Um den Push-Vorgang auszuführen und die Daten manuell in TISC zu verschieben.
    3. Wählen Sie einen oder mehrere Datensätze mit Bedrohungssuchergebnissen aus.
    4. Klicken Sie Auf Ergebnisse an TISC senden .
      Ergebnisse an TISC senden
      Hinweis:
      • Wenn das ausgewählte erkennbare Element für die Bedrohungssuche in TISC nicht vorhanden ist, wird das erkennbare Element im manuellen Modus zuerst als Quelle des erkennbaren Elements erstellt, und sobald das erkennbare Quellelement einen TISC-Datensatz erstellt, wird der Datensatz des erkennbaren Elements automatisch dem neu erstellten erkennbaren Element zugeordnet. Außerdem wird die ausgewählte Bedrohungssuche im manuellen Modus auch an das neu erstellte erkennbare Element „Bedrohungssuche“ übertragen.
      • In einem automatischen Modus werden die erkennbaren Elemente nicht übertragen, wenn das erkennbare Element vorhanden ist. Dann werden die Bedrohungssuchen automatisch übertragen. Wenn die erkennbaren Elemente nicht vorhanden sind, werden die Bedrohungssuchen nicht übertragen.
    5. Eine Bestätigungsnachricht wird angezeigt, die angezeigt wird Das erkennbare Element (1,9.78.242) für den ausgewählten Bedrohungssuchdatensatz ist in TISC nicht vorhanden. Es dauert einige Zeit, um ein erkennbares Element zu erstellen und den Bedrohungssuchdatensatz für erkennbare Elemente automatisch in TISC zuzuordnen.
      Sobald dies verarbeitet und übertragen wurde, können Sie die Ergebnisse sehen.
    6. Wählen Sie Aus TISC-Kontext .
      Hinweis:
      :
      • Sie sehen jetzt das erkennbare Element, das von der SIR-Anwendung an TISC übertragen wird.
        TISC-Kontext
      • In einem manuellen Push-Vorgang : Die Daten erkennbarer Elemente können nur übertragen werden, wenn sie mit den Security Incidents verknüpft sind. Sobald das erkennbare Element von SIR übertragen wurde, können diese Daten anhand von Quellen identifiziert werden, die Verweise auf Security Incidents enthalten, die mit dem erkennbaren Element verknüpft sind.
      • In einem automatischen Push-Vorgang : Die erkennbaren Elemente oder Ergänzungsdaten werden automatisch übertragen, wenn sie einem Security Incident zugeordnet sind.
      • TISC-Kontext Zeigt alle SIR-zugeordneten erkennbaren Elemente an, die auch in TISC vorhanden sind.
      • Im TISC-Kontext können SIR-Analysten alle TISC-Anreicherungsdaten anzeigen, einschließlich Bedrohungssuchen, Sichtungssuche und Anreicherungsergebnisse erkennbarer Elemente.
      • Zeigen Sie Zugehörige Informationen An Zeigt alle zugehörigen Ergänzungsdaten erkennbarer Elemente der ausgewählten erkennbaren Elemente an.
    7. In der Listenansicht werden alle Ergebnisse der Bedrohungssuche angezeigt. Wählen Sie jedoch einen beliebigen Datensatz aus, und klicken Sie auf Zeigen Sie Zugehörige Informationen An Schaltfläche.
    8. Zeigen Sie die Ergebnisse der Bedrohungssuche an.
    9. Klicken Sie auf einen beliebigen Datensatz mit Bedrohungssuchergebnissen, um den Datensatz in der Formularansicht anzuzeigen, die auch den Push oder anzeigt Erfassungstyp (Automatisch oder manuell) und Quelle Wird Security Incident Response sein.
      Zeigen Sie Ergebnisse der Bedrohungssuche an