Flux fonctionnel de traitement des données TISC

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Threat Intelligence Security Center (TISC) fournit une solution qui automatise la collecte et le traitement des données, ce qui permet de réduire la charge de travail des analystes Threat Intelligence en évitant les étapes manuelles impliquées.

    Le Centre de sécurité des renseignements sur les menaces (TISC) collecte des renseignements à l’aide de l’une des méthodes suivantes :

    1. Ingestion à partir de sources de données préconfigurées et exécutées selon une planification.
    2. Analystes Intelligence sur les menaces qui importent des données à l’aide de la fonctionnalité Import Intelligence.
    3. Création manuelle d’enregistrements individuels au sein de l’application.
      Remarque :
      Les données collectées dans l’application sont traitées pour normaliser, dédupliquer et agréger les informations avant le chargement dans la bibliothèque Threat Intel.

    Terminologie de base utilisée dans le traitement des données

    1. Tables sources : les tables sources contiennent les données relatives aux entités qui sont extraites de plusieurs sources, puis les enregistrements sont créés par chaque source.
    2. Enregistrements agrégés : les tables d’enregistrements agrégés contiennent les données relatives à une entité spécifique en agrégeant les données de tous les enregistrements sources d’une entité spécifique.

    Flux de données TISC

    1. En cas d’exécution réussie de l’intelligence d’importation/source de données, les enregistrements sont créés dans les tables source correspondantes.
    2. Une fois que les données entrent dans la table source, elles passent par une logique de filtrage pour valider si l’enregistrement doit être filtré en fonction des règles de filtrage entrant configurées. (Considérons SourceRecord1 comme un enregistrement source pour notre explication).
    3. Si l’enregistrement est filtré par l’une des règles de filtrage entrant configurées, l’enregistrement source correspondant (SourceRecord1) est marqué comme filtré et la règle qui a filtré l’enregistrement se trouve dans la règle de filtrage appliquée.
    4. Supposons que l’enregistrement source (SourceRecord1) s’agrège en AggregateRecord1.
    5. Si l’enregistrement n’est pas filtré, il est marqué pour la déduplication en définissant l’état du traitement sur Prêt pour la déduplication.
    6. La logique de déduplication valide les éléments ci-dessous :
      1. Indique si l’enregistrement source entrant (SourceRecord1) est un doublon de tout enregistrement source existant pour AggregateRecord1.
      2. Tous les enregistrements sources existants pour AggregateRecord1 sont un doublon de l’enregistrement source entrant (SourceRecord1).
    7. Chaque entité a des champs et des relations spécifiques sur la base desquels l’enregistrement source est validé pour la duplication.
    8. Si l’enregistrement source entrant (SourceRecord1) est un doublon d’un enregistrement source existant de AggregateRecord1, l’enregistrement source entrant (SourceRecord1) est marqué comme Doublon.
    9. Si l’un des enregistrements sources existants (Existing Source Record1) de AggregateRecord1 est identifié comme doublon de l’enregistrement source entrant (SourceRecord1), alors l’enregistrement source existant (Existing Source Record1) est marqué comme Doublon et l’enregistrement source entrant (SourceRecord1) est marqué pour l’agrégation en définissant l’état du traitement sur Prêt pour l’agrégation.
    10. Dans le cadre de l’agrégation, les champs de l’enregistrement agrégé AggregateRecord1 sont mis à jour en fonction des valeurs provenant de plusieurs enregistrements sources qui sont regroupés selon les critères prédéfinis définis dans le système.
    Traitement des données dans TISC