Ajouter des observables au ticket TISC

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez cette section pour ajouter des incidents de sécurité ou des observables à un ticket TISC.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité > Incidents de sécurité > Tout.
    2. Localisez et ouvrez tout incident de sécurité spécifique sur lequel vous enquêtez.
      Cela peut également être fait en recherchant l’ID d’incident, en filtrant à l’aide de la section Filtres rapides ou en parcourant un état d’incident.
    3. Sélectionnez l’onglet Contexte TISC .
    4. Cliquez sur le bouton Ajouter au ticket TISC .
      La boîte de dialogue Ajouter au ticket TISC s’affiche. Cela permet d’afficher uniquement les tickets TISC pour lesquels l’enregistrement n’est pas déjà associé.
    5. Sélectionnez les observables.
    6. Sélectionnez un ou plusieurs tickets et cliquez sur Ajouter pour ajouter les tickets aux observables et les associer à l’incident de sécurité.
      Ajouter au ticket TISC à partir de l’espace de travail SIR.
      Remarque :
      Vous pouvez également créer un nouveau ticket en cliquant sur Créer un nouveau ticket TISC, au cas où vous n’auriez pas de tickets existants.
      Les messages de confirmation suivants s’affichent :
      • Les observables suivants sont ajoutés avec succès en tant qu’artefacts.
      • Les observables suivants sont envoyés à TISC et ajoutés ultérieurement aux enregistrements de tickets TISC sélectionnés.
      Remarque :
      Le traitement et l’association des activités des observables sont publiés dans le flux d’activité au fur et à mesure que l’association est terminée.
    7. Affichez les enregistrements de tickets associés en vous connectant à l’espace de travail du centre de sécurité Renseignements sur les menaces pour connaître les étapes suivantes.
      Pour plus d'informations, reportez-vous à la section Intégration de TISC à l’espace de travail SIR.
      Remarque :
      Depuis l’espace de travail Réponse aux incidents de sécurité, vous pouvez également associer des observables à des enregistrements de tickets à partir des onglets Enquête et Enregistrements connexes .
      Remarque :
      Pour associer des observables à partir de l’enquête, suivez la procédure ci-dessous et pour les associer à partir des enregistrements connexes expliqués ici Ajouter des observables au ticket TISC. Vous pouvez également naviguer vers l’onglet Examiner et naviguer vers la section Listes de points d’entrée affichée sur le côté gauche de la page et sélectionner Observables associés pour ajouter des observables au ticket TISC.