Mit Threat Intelligence Security Center installierte Komponenten
Beim Herunterladen und Aktivieren von werden verschiedene Arten von Komponenten installiert Threat Intelligence-Sicherheitszentrum Anwendung, einschließlich Anwenderrollen und -Eigenschaften.
Installierte Eigenschaften
Erforderliche Rolle: sn_sec_tisc.admin
Benutzer mit der Rolle „Sicherheitsadministrator“ [sn_sec_tisc.admin] können sie ändern.
| Eigenschaft | Monatlich |
|---|---|
| Eigenschaften für Threat Intelligence-Sicherheitszentrum | |
| Dadurch werden alle Korrelationsregeln deaktiviert. Wenn wir nur ausgewählte Korrelationsregeln deaktivieren müssen, verwenden Sie stattdessen das Feld „aktiv“ in der Korrelationsregel. sn_sec_tisc.disable_correlation_rules |
|
| Diese Eigenschaft wird verwendet, um die Verarbeitung von Aggregaten in der Funktion zur Berechnung der Bedrohungsbewertung zu aktivieren/deaktivieren. sn_sec_tisc.aggregates_for_Calculator |
|
| Die Anzahl der Zeilen mit Rohdaten, die gespeichert werden, wenn eine Sichtungssuche durchgeführt wird. Bereich 0 Bis 100 sn_sec_tisc.Sighting_search_RAW_Data_rows |
|
| Ordnen Sie die Ergebnisse der Sichtungssuche den CIs in der CMDB zu. sn_sec_tisc.Associate_ci_with_Sighting_search |
|
| Dadurch wird gesteuert, ob URLs aus Listen entsperrt werden oder nicht sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls |
|
| Diese Eigenschaft ermöglicht es, dass für die MITRE-Techniken automatisch ein Rollup zu Fällen aus den zugeordneten Objekten oder Security Incidents durchgeführt wird. sn_sec_tisc.auto_rollup_mitre_data |
|
| Bei „true“ werden alle Taktiken (einschließlich der Taktiken, denen keine Techniken mit dem Fall zugeordnet sind) für die im Bericht gerenderten MITRE-Listen angezeigt. sn_sec_tisc.Show_all_tactics_Reporting |
|
| Sys-ID der E-Mail-Client-Vorlage für die Falltabelle (sn_sec_tisc_case), die in der Berichtfreigabe verwendet wird. sn_sec_tisc.Reporting_email_template_sn_sec_tisc_Case |
|
| Die Standard-TLP-Ebene wird beim Erstellen eines neuen Datensatzes angewendet. Wenn im Formular nicht manuell festgelegt, wird dieser Wert verwendet. sn_sec_tisc.tlp_default_value |
|
| Protokollierungsebene – Debug, Info, Warnung, Fehler sn_sec_tisc.Logging.verbosity |
|
| Eigenschaften für Threat Intelligence-Feeds | |
| Maximale Zeit in Sekunden, die eine ausgehende HTTP-Verbindung wartet, um TAXII-Sammlungsdaten abzurufen sn_sec_tisc.Taxii.http.max_timeout |
|
| Maximale Anzahl von Objekten, die in einem REST-Aufruf von einem TAXII-Server abgerufen werden (gilt nur für TAXII-Versionen 2.0 und 2.1) sn_sec_tisc.Taxii.max_page_size |
|
| Maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII2. X-REST-Aufruf sn_sec_tisc.taxii2.retry_count |
|
| Maximale Anzahl von Objekten, die in einem REST-Aufruf vom Cyware TAXII-Server abgerufen werden sn_sec_tisc.Cyware_Taxii.max_page_size |
Hinweis:
Gibt die Seitengröße an, die beim Abrufen von Daten aus TAXII-Sammlungen im Zusammenhang mit dem Cyware-TAXII-Feed verwendet wird. Für alle anderen TAXII-Sammlungen wird die aus der TAXII-Sammlung abgerufene Seitengröße standardmäßig auf den Wert festgelegt, der in der entsprechenden Eigenschaft definiert ist: |
| Anzahl der Datensätze, die gleichzeitig von CrowdStrike abgerufen werden sollen. Je höher die Zahl, desto mehr Arbeitsspeicher würde für die Verarbeitung der Nutzlast verbraucht. sn_sec_tisc.crowdstrike_api_limit |
|
| Gibt die Anzahl der Indikatoren an, die in einem einzelnen API-Aufruf abgerufen werden sollen. Hinweis: Dies gilt nur, wenn die Integration die erforderlichen nicht im System findet. sn_sec_tisc.crowdstrike_indicator_Batch_size |
|
| Gibt die Anzahl der Akteure an, die in einem einzelnen API-Aufruf abgerufen werden sollen. Hinweis: Dies gilt nur, wenn die Integration die erforderlichen nicht im System findet. sn_sec_tisc.crowdstrike_actor_Batch_size |
|
| Gibt die Anzahl der Berichte an, die in einem einzelnen API-Aufruf abgerufen werden sollen. Hinweis: Dies gilt nur, wenn die Integration die erforderlichen nicht im System findet. sn_sec_tisc.crowdstrike_Report_Batch_size |
|
| Die zulässige Summe aus Offset und Grenzwert aus der CrowdStrike-API. sn_sec_tisc.crowdstrike_Offset_limit_total |
|
| Eigenschaften für REST APIs | |
| Definiert die maximale Seitengröße (maximale Anzahl von erkennbaren Elementen, die als Teil der Antwort zurückgegeben werden) für die API zum Abrufen erkennbarer Elemente. Es wird nicht empfohlen, den Wert auf einen hohen Wert zu erhöhen, da dies sich auf die API-Antwortzeit auswirken kann. sn_sec_tisc.api_Maximum_page_size_limit |
|
| Definiert die maximale Anzahl von erkennbaren Elementen, die im Anforderungstext für die API zum Hinzufügen erkennbarer Elemente gesendet werden können. Es wird nicht empfohlen, den Wert auf einen hohen Wert zu erhöhen, da dies sich auf die API-Antwortzeit auswirken kann. sn_sec_tisc.add_obs_api_max_Records |
|
| Eigenschaften für Webhooks | |
| Maximale Anzahl von Ereignissen, die als Teil einer Webhook-Anforderung gesendet werden sollen. Die Batchgröße ist auf 2000 beschränkt, auch wenn in dieser Eigenschaft ein höherer Wert festgelegt ist. sn_sec_tisc.Webhook_max_event_Batch_size |
|
| Gibt an, wie oft eine fehlgeschlagene Anforderung wiederholt werden soll, bevor sie als Fehler markiert und mit dem nächsten Ereignisbatch fortgefahren wird. Die Anzahl der Wiederholungen ist auf 10 beschränkt, auch wenn in dieser Eigenschaft eine höhere Zahl festgelegt ist. sn_sec_tisc.Webhook_retry_count |
|
| Anzahl der Sekunden, die gewartet werden soll, bevor ein fehlgeschlagener Batch erneut versucht wird. Dies erhöht sich exponentiell basierend auf der Anzahl der Wiederholungen. Beispiel: Wenn „retry_count“ 3 und „retry_interval“ 30 ist, werden Wiederholungen nach 30, 60 und 120 Sekunden ausgelöst Das anfängliche Wiederholungsintervall ist auf 300 Sekunden beschränkt, auch wenn in dieser Eigenschaft ein höherer Wert festgelegt ist. sn_sec_tisc.Webhook_retry_interval |
|
| Durch erneute Anwendung der Bedrohungsbewertung ausgelöste Webhook-Ereignisse ignorieren sn_sec_tisc.Webhook_ignore_Threat_Score_reapply |
|
| Eigenschaften für Untersuchungs-Canvas | |
| Wenn Sie den Wert auf „true“ festlegen, werden neue Knoten in der linken oberen Ecke hinzugefügt. Bei „false“ fügt sie der Mitte des Canvas hinzu. sn_sec_tisc.canvas_suspend_reLayout |
|
| Eigenschaften für Export in CTI-Formaten | |
| Maximale Anzahl der Zeilen, die in eine STIX 2.1-Datei exportiert werden können. sn_sec_tisc.stix_Export_limit |
|
| Schließen Sie Felder vom Typ „Journal“ in die Exportdatei ein. sn_sec_tisc.Export_Journal_fields |
|
Geplante Aufgaben
In der folgenden Tabelle werden die geplanten Aufgaben beschrieben:
| Auftrag | Beschreibung |
|---|---|
| Datensätze Der Aggregatindikatorquelle | Fasst Indikatorquelldatensätze zusammen. |
| Aggregatobjektquelldatensätze | Fasst Objektquelldatensätze zusammen. |
| Fassen Sie Quelldatensätze Erkennbarer Elemente Zusammen | Fasst Quelldatensätze erkennbarer Elemente zusammen. |
| Bereinigung veralteter Importe | Bereinigt veraltete Importauftragsdatensätze. |
| Bereinigung nicht verwendeter neuer Knoten von Canvas | Bereinigt nicht verwendete neue Knoten von Canvas. |
| Bereinigen Sie Datensätze Für Sicheren Dateidownload | Bereinigt sichere Dateidownload-Datensätze. |
| Deduplizieren Sie Indikatorquelldatensätze | Dedupliziert Indikatorquelldatensätze. |
| Deduplizieren Sie Objektquelldatensätze | Dedupliziert Objektquelldatensätze. |
| Deduplizieren Sie Quelldatensätze erkennbarer Elemente | Dedupliziert Quelldatensätze erkennbarer Elemente. |
| Deaktivieren Sie Abgelaufene Indikatoren | Deaktiviert abgelaufene Indikatordatensätze. |
| Deaktivieren Sie Abgelaufene Objekte | Deaktiviert abgelaufene Objektdatensätze. |
| Deaktivieren Sie Abgelaufene Erkennbare Elemente | Deaktiviert abgelaufene Datensätze erkennbarer Elemente |
| Migrieren Sie Daten von TI zu TISC | Verarbeitet ausstehende Datensätze zur Ausführung des Migrationsauftrags |
| Füllen Sie zusammengefasste Datensätze für Indikatorquelldatensätze aus | Gibt den übergeordneten zusammengefassten Datensatz für neu erstellte Indikatorquelldatensätze an |
| Füllen Sie zusammengefasste Datensätze für Objektquelldatensätze aus | Gibt den übergeordneten zusammengefassten Datensatz für neu erstellte Objektquelldatensätze an. |
| Füllen Sie zusammengefasste Datensätze für Quelldatensätze erkennbarer Elemente aus | Gibt den übergeordneten zusammengefassten Datensatz für neu erstellte Quelldatensätze erkennbarer Elemente an. |
| Füllen Sie die TISC-Referenz in TI aus | Füllt die Referenz des aggregierten erkennbaren TISC-Elements im Datensatz des erkennbaren TI-Elements aus. |
| Genehmigte Importe Verarbeiten | Verarbeitet genehmigte Importaufträge. |
| Verarbeitet importierte MISP DSM-Warteschlangendatensätze | Datensätze der bereitgestellten MISP-Feed-Erfassungswarteschlange verarbeitet. |
| Importierte MISP-Indikatorimport-Warteschlangendatensätze verarbeiten | Verarbeitet bereitgestellte MISP-Daten, die aus Import Intelligence erfasst wurden |
| Verarbeitet importierte STIX-Importwarteschlangendatensätze | Verarbeitet bereitgestellte STIX-Daten, die aus Import Intelligence erfasst wurden |
| Importierte STIX-Importwarteschlangendatensätze verarbeiten – Erfassung | Verarbeitet bereitgestellte STIX-Daten, die aus Bedrohungs-Feeds erfasst wurden. |
| Verarbeiten Sie Die Migration Ausstehender Fallartefakte | Migriert Fallartefakte aus der Threat Intelligence-Anwendung zum Threat Intelligence-Sicherheitszentrum. |
| Verarbeiten Sie Datensätze der Warteschlange für ausstehende Bedrohungsquellen | Verarbeitet Datensätze der ausstehenden Quellerfassungswarteschlange. |
| Verarbeiten Sie Entitäten In Der Warteschlange Für Den Rechner Der Bedrohungsbewertung | Verarbeitet ausstehende Bedrohungsrechner-Warteschlangeneinträge |
| Verarbeiten Sie MISP DSM-Warteschlangendatensätze in der Warteschlange | Verarbeitet MISP-Daten in der Warteschlange, die aus dem Bedrohungs-Feed erfasst wurden |
| Importwarteschlangendatensätze für MISP-Indikator in Warteschlange verarbeiten | Verarbeitet MISP-Daten in der Warteschlange, die aus Import Intelligence erfasst wurden |
| STEX-Importwarteschlangendatensätze in Warteschlange verarbeiten – Erfassung | Verarbeitet STIX-Daten in Warteschlange, die aus Bedrohungs-Feeds erfasst wurden. |
| Importwarteschlangendatensätze des STEX-Indikators in der Warteschlange verarbeiten | Verarbeitet STIX-Daten in Warteschlange, die aus Import Intelligence erfasst wurden |
| Webhook-Warteschlange Verarbeiten | Verarbeitet ausstehende Webhook-Warteschlangendatensätze. |
| Fassen Sie Quelldatensätze Erneut Zusammen | Fasst Quelldatensätze neu zusammen, für die zusammengefasste Datensätze gelöscht werden. |
| Entfernen Sie den gefilterten Quelldatensatz | Bereinigt gefilterte Quelldatensätze |
| CrowdStrike-Integration – Prozessüberprüfung fortsetzen/CrowdStrike-Quelldatensätze erneut verarbeiten | Setzt die CrowdStrike-Feed-Integrationsausführungen fort, die auf Quotenlimit-/Reporussquelldatensätze für die Zusammenfassung von Beziehungen warten |
| Anzahl Der Falsch Positiven Erkennbaren Elemente Synchronisieren | Synchronisiert die Anzahl der falsch positiven erkennbaren Elemente mit der Anzahl der Flase-positiven Elemente pro Quelle |
| TISC – Webhook-Batches erstellen | Batches für Webhook-Warteschlangeneinträge in der Warteschlange zur Verarbeitung erstellt |
| TISC löst Webhooks aus | Führt ausstehende Webhook-Batches aus |
| Archivierte Beziehungsspalte Wird Aktualisiert | Aktualisiert den Archivstatus der Beziehungsquellen- und Zieldatensätze |