Envoyer une recherche de menace à TISC

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Grâce à cette fonctionnalité, l’analyste en sécurité peut transmettre les données de recherche de menaces de SIR à TISC. À l’aide du contexte TISC, vous pouvez vérifier si les résultats de la recherche de menace sont présents dans TISC, sinon l’analyste de la sécurité peut transmettre les données par push chaque fois que nécessaire.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à l’onglet Enregistrements connexes dans l’espace de travail SIR pour effectuer l’action d’aptitude d’intégration TISC.
      Remarque :
      • Vous pouvez également naviguer vers l’onglet Examiner et naviguer vers la section Listes de points d’entrée affichée sur le côté gauche de la page et sélectionner les observables associés pour effectuer l’opération push.
      • Dans l’onglet Investigation , cliquez sur View Associated Info (Afficher les informations associées ) pour afficher toutes les données associées de recherche de menace, de recherche de perception et d’enrichissement pour l’observable sélectionné. Pour plus d'informations, consultez Explorer le canevas d’enquête.
    2. Sélectionner Connaissance de la menace > Résultats de la recherche de menace pour effectuer l’opération push et pousser manuellement les données dans TISC.
    3. Sélectionnez un ou plusieurs enregistrements des résultats de la recherche de menace.
    4. Cliquez sur Envoyer les résultats à TISC.
      Envoyer les résultats à TISC
      Remarque :
      • Si l’observable de recherche de menace sélectionné n’est pas présent dans TISC, l’observable est d’abord créé en mode manuel en tant que source d’observable, puis une fois que l’observable source crée un enregistrement d’observable TISC, l’enregistrement de l’observable est automatiquement associé à l’observable nouvellement créé. En outre, la recherche de menaces sélectionnée sera également transmise à l’observable de recherche de menaces nouvellement créé en mode manuel.
      • En mode automatique, les observables ne seront pas poussés si l’observable est présent, puis les recherches de menaces seront poussées automatiquement. Si les observables ne sont pas présents, les recherches de menaces ne sont pas poussées.
    5. Un message de confirmation s’affiche indiquant que l’observable (1.9.78.242) pour l’enregistrement de recherche de menaces sélectionné n’existe pas dans TISC. La création d’un observable et l’association automatique de l’enregistrement de recherche de menace observable dans TISC prennent un certain temps.
      Une fois que cela est traité et transmis, vous pouvez voir les résultats.
    6. Sélectionnez le contexte TISC.
      Remarque :
      :
      • Vous verrez maintenant l’observable qui est transmis par push à TISC à partir de l’application SIR.
        Contexte TISC
      • Dans une opération push manuelle : les données observables ne peuvent être transmises que si elles sont liées aux incidents de sécurité. Une fois que l’observable est transmis par push à partir de SIR, ces données peuvent être identifiées à l’aide de sources qui font référence à l’incident de sécurité lié à l’observable.
      • Dans une opération push automatique : les données observables ou d’enrichissement sont poussées automatiquement lorsqu’elles sont associées à un incident de sécurité.
      • Le contexte TISC affiche tous les observables associés au SIR qui sont également présents dans TISC.
      • À l’aide du contexte TISC, les analystes SIR peuvent voir toutes les données d’enrichissement TISC, y compris les recherches de menaces, la recherche de perception et les résultats d’enrichissement des observables.
      • Afficher les informations associées affiche toutes les données d’enrichissement observable associées des observables sélectionnés.
    7. La vue de liste affiche tous les résultats de la recherche de menace, cependant sélectionnez n’importe quel enregistrement et cliquez sur le bouton Afficher les informations associées .
    8. Affichez les résultats de la recherche de menaces.
    9. Cliquez sur n’importe quel enregistrement des résultats de la recherche de menaces pour afficher l’enregistrement dans la vue de formulaire, qui affiche également le type push ou d’ingestion (automatique ou manuelle) et la source sera Security Incident Response.
      Afficher les résultats de la recherche de menaces