Das Threat Intelligence Security Center (TISC) bietet eine Lösung, die die Datensammlung und -Verarbeitung automatisiert und dabei hilft, die Belastung für Analysten von Threat Intel zu reduzieren, indem manuelle Schritte vermieden werden.

Threat Intelligence Security Center (TISC) erfasst Intelligenz mit einer der folgenden Methoden:

1. Erfassung aus Datenquellen, die vorkonfiguriert sind und nach einem Zeitplan ausgeführt werden.
2. Threat Intel-Analysten, die Daten mit der Funktion „Intelligence importieren“ importieren.
3. Einzelne Datensätze in der Anwendung werden manuell erstellt.
   Hinweis:

   Die in der Anwendung erfassten Daten werden verarbeitet, um die Informationen zu normalisieren, zu deduplizieren und zusammenzufassen, bevor sie in die Threat Intel-Bibliothek geladen werden.

TISC-Daten-Flow

1. Bei einer erfolgreichen Ausführung des Imports von Intelligenz/Datenquelle werden die Datensätze in den entsprechenden Quelltabellen erstellt.
2. Sobald die Daten in die Quelltabelle gelangen, durchlaufen die Daten die Filterlogik, um zu validieren, ob der Datensatz basierend auf der konfigurierten gefiltert werden soll Eingehende Filterregeln . (Betrachten wir SourceRecord1 als Quelldatensatz für unsere Erklärung).
3. Wenn der Datensatz nach einer der konfigurierten Regeln für eingehende Filterung gefiltert wird, wird der entsprechende Quelldatensatz (SourceRecord1) als markiert Gefiltert Und-Regel, die den Datensatz gefiltert hat, finden Sie in der angewendeten Filterregel.
4. Nehmen wir an, dass der Quelldatensatz (SourceRecord1) zu AggregateRecord1 aggregiert wird.
5. Wenn der Datensatz nicht gefiltert ist, wird der Datensatz für die Deduplizierung markiert, indem der Verarbeitungsstatus auf „bereit für Deduplizierung“ festgelegt wird.
6. Die Deduplizierungslogik validiert Folgendes:
   1. Gibt an, ob der eingehende Quelldatensatz (SourceRecord1) ein Duplikat vorhandener Quelldatensätze für AggregateRecord1 ist.
   2. Jeder der vorhandenen Quelldatensätze für AggregateRecord1 ist ein Duplikat des eingehenden Quelldatensatzes (SourceRecord1).
7. Jede Entität verfügt über bestimmte Felder und Beziehungen, basierend auf denen der Quelldatensatz auf Duplizierung validiert wird.
8. Wenn der eingehende Quelldatensatz (SourceRecord1) ein Duplikat eines vorhandenen Quelldatensatzes von AggregateRecord1 ist, wird der eingehende Quelldatensatz (SourceRecord1) als Duplikat markiert.
9. Wenn einer der vorhandenen Quelldatensätze (vorhandener Quelldatensatz 1) von AggregateRecord1 als Duplikat des eingehenden Quelldatensatzes (SourceRecord1) identifiziert wird, wird der vorhandene Quelldatensatz (vorhandener Quelldatensatz 1) als Duplikat markiert, und der eingehende Quelldatensatz (SourceRecord1) wird für die Zusammenfassung markiert, indem der Verarbeitungsstatus auf „bereit für Zusammenfassung“ festgelegt wird.
10. Im Rahmen der Zusammenfassung werden Felder des aggregierten Datensatzes „AggregateRecord1“ basierend auf Werten aus mehreren Quelldatensätzen gemäß den im System definierten vordefinierten Kriterien zusammengefasst.