Composants installés avec Centre de sécurité des renseignements sur les menaces
Plusieurs types de composants sont installés lorsque vous téléchargez et activez l’application, notamment les rôles d’utilisateur et les Centre de sécurité des renseignements sur les menaces propriétés.
Propriétés installées
Rôle requis : sn_sec_tisc.admin
Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_sec_tisc.admin] peuvent les modifier.
| Propriété | Utilisation |
|---|---|
| Propriétés du Centre de sécurité des renseignements sur les menaces | |
| Cela désactivera toutes les règles de corrélation. Si nous avons juste besoin de désactiver les règles de corrélation sélectionnées, utilisez plutôt le champ « actif » de la règle de corrélation. sn_sec_tisc.disable_correlation_rules |
|
| Cette propriété permet d'activer/de désactiver le traitement des agrégats dans la fonctionnalité du calculateur de score de menace. sn_sec_tisc.agrégats_pour_calculatrice |
|
| Nombre de lignes de données brutes qui sont enregistrées lors de l’exécution d’une recherche d’observations. Plage 0 – 100 sn_sec_tisc.sighting_search_raw_data_rows |
|
| Associez les résultats de la recherche de perception aux CI dans la CMDB. sn_sec_tisc.associate_ci_with_sighting_search |
|
| Cela permet de contrôler si les URL des listes sont neutralisées ou non sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls |
|
| Cette propriété permet de déployer automatiquement la ou les techniques MITRE dans les tickets à partir des objets associés ou des incidents de sécurité. sn_sec_tisc.auto_rollup_mitre_data |
|
| Si vrai, affiche toutes les tactiques (y compris celles qui n'ont aucune technique associée au ticket) pour les listes MITRE rendues dans le rapport. sn_sec_tisc. Montrer_toutes_les_tactiques_rapports |
|
| ID système du modèle de client de messagerie pour la table Ticket (sn_sec_tisc_case) qui sera utilisé dans le rapport de partage. sn_sec_tisc.reporting_email_template_sn_sec_tisc_case |
|
| Le niveau TLP par défaut est appliqué lors de la création d’un nouvel enregistrement. Si elle n’est pas définie manuellement sur le formulaire, cette valeur sera utilisée. sn_sec_tisc.tlp_default_value |
|
| Niveau de connexion : débogage, information, avertissement, erreur sn_sec_tisc.logging.verbosité |
|
| Propriétés des flux de Renseignements sur les menaces | |
| Délai maximal, en secondes, pendant lequel une connexion HTTP sortante attend pour récupérer les données de collecte TAXII sn_sec_tisc.taxii.http.max_timeout |
|
| Nombre maximal d'objets récupérés dans un seul appel REST à partir d'un serveur TAXII (applicable uniquement pour les versions 2.0 et 2.1 de TAXII) sn_sec_tisc.taxii.max_taille_de_page |
|
| Nombre maximal de nouvelles tentatives pour un échec de TAXII2. X appel REST sn_sec_tisc.taxii2.retry_count |
|
| Nombre maximal d'objets récupérés dans un seul appel REST à partir du serveur Cyware TAXII sn_sec_tisc.cyware_taxii.max_taille_de_page |
Remarque :
Spécifie la taille de page utilisée lors de l’extraction des données des collections TAXII liées au flux Cyware TAXII. Pour toutes les autres collections TAXII, la taille de page récupérée à partir de la collection TAXII correspond par défaut à la valeur définie dans la propriété correspondante : |
| Nombre d’enregistrements à extraire simultanément à partir de CrowdStrike. Plus la valeur est élevée, plus la mémoire consommée pour le traitement de la charge utile est élevée. sn_sec_tisc.crowdstrike_api_limit |
|
| Indique le nombre d’indicateurs à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_indicator_batch_size |
|
| Indique le nombre d’acteurs à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_actor_batch_size |
|
| Indique le nombre de rapports à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_report_batch_size |
|
| Total autorisé de décalage et de la limite par l'API CrowdStrike. sn_sec_tisc.crowdstrike_offset_limit_total |
|
| Propriétés des règles de balisage | |
| Propriétés des API REST | |
| Définit le taille maximale de la page (nombre maximal d’observales retournés dans le cadre de la réponse) pour l’API d’extraction des observables. Il n’est pas recommandé d’augmenter la valeur à une valeur élevée, car elle peut affecter le délai de réponse de l’API. sn_sec_tisc.api_maximum_page_size_limit |
|
| Définit le nombre maximal d’observables qui peuvent être envoyés dans le corps de la demande pour l’API d’ajout d’observables. Il n’est pas recommandé d’augmenter la valeur à une valeur élevée, car elle peut affecter le délai de réponse de l’API. sn_sec_tisc.add_obs_api_max_records |
|
| Propriétés des webhooks | |
| Nombre maximal d’événements à envoyer dans le cadre d’une demande de webhook. La taille du lot est limitée à 2 000 même si une valeur plus élevée est définie dans cette propriété. sn_sec_tisc.webhook_max_event_batch_size |
|
| Nombre de fois qu’une demande ayant échoué doit être réessayée avant de la marquer comme erreur et de passer au lot d’événements suivant. Le nombre de nouvelles tentatives est limité à 10 même si un nombre plus élevé est défini dans cette propriété. sn_sec_tisc.webhook_retry_count |
|
| Nombre de secondes à attendre avant de retenter un lot ayant échoué. Cette valeur augmentera de façon exponentielle en fonction du nombre de nouvelles tentatives. Par exemple, si retry_count est 3 et que retry_interval est 30, les nouvelles tentatives sont déclenchées après 30, 60 et 120 secondes. L’intervalle entre les tentatives initiales est limité à 300 secondes, même si une valeur plus élevée est définie dans cette propriété. sn_sec_tisc.webhook_retry_interval |
|
| Ignorer les événements de webhook déclenchés par la réapplication du score de menace sn_sec_tisc.webhook_ignore_threat_score_reapply |
|
| Propriétés du canevas d'enquête | |
| Si vous définissez la valeur sur vrai, de nouveaux nœuds sont ajoutés dans le coin supérieur gauche alors qu'une définition sur faux les ajoute au centre du canevas. sn_sec_tisc.canvas_suspend_reLayout |
|
| Propriétés pour l’exportation aux formats CTI | |
| Nombre maximal de lignes pouvant être exportées vers un fichier STIX 2.1 sn_sec_tisc.stix_export_limit |
|
| Inclure les champs de type journal dans le fichier d'exportation. sn_sec_tisc.export_journal_fields |
|
| Propriétés du partage de renseignements sur les menaces | |
| Active ou désactive le respect de la casse pour l’application de la caviardage pour les informations partagées. (Par défaut, la valeur sera faux, ce qui implique que la rédaction ne tiendra pas compte de la casse. Remarque : le changement de la valeur de cette propriété de faux à vrai ou de vrai à faux SUPPRIMERA toutes les données de la catégorie de rédaction ainsi que de la table des valeurs.) sn_sec_tisc.case_sensitive_for_redaction |
|
| Nombre maximal de lignes autorisées dans le fichier de chargement de rédaction. sn_sec_tisc.max_redaction_rows_import |
|
| Titre du serveur TAXII sortant sn_sec_tisc.taxii_server_discovery_api_title |
|
| Description du serveur TAXII sortant sn_sec_tisc.taxii_server_discovery_api_description |
|
| Titre de la racine de l'API par défaut du serveur TAXII sortant sn_sec_tisc.taxii_server_api_root_title |
|
| Description de la racine de l'API par défaut du serveur TAXII sortant sn_sec_tisc.taxii_server_api_root_description |
|
| Taille de page par défaut de la réponse API du serveur TAXII sn_sec_tisc.taxii_server_api_response_page_limit |
|
| Nombre maximal d'enregistrements qui peuvent être ajoutés à une collection de serveurs TAXII sortants sn_sec_tisc.taxii_server_collection_record_limit |
|
| Nombre maximal d’entités qui peuvent être ajoutées à une collection TAXII dans une seule demande « Ajouter à la collection TAXII ». Le système applique une limite stricte de 10 000 entités par demande, quelle que soit la valeur configurée supérieure. sn_sec_tisc.add_to_taxii_collection_entity_threshold |
|
| Propriétés des règles de balisage | |
| Active ou désactive la correspondance sensible à la casse des mots clés ou des regex règles de balisage n (par défaut, l’option est désélectionnée (Non), ce qui signifie que les correspondances sont sensibles à la casse). sn_sec_tisc.case_sensitive_for_tagging_rules |
|
Travaux planifiés
La table suivante décrit les travaux planifiés :
| Tâche | Description |
|---|---|
| Regrouper les enregistrements source de l’indicateur | Regroupe les enregistrements sources des indicateurs. |
| Regrouper les enregistrements sources de l’objet | Regroupe les enregistrements sources de l’objet. |
| Regrouper les enregistrements sources d’observables | Agrège les enregistrements sources des observables. |
| Nettoyage des importations périmées | Nettoie les enregistrements de tâches d’importation périmés. |
| Nettoyage des nouveaux nœuds de canevas inutilisés | Nettoie les nouveaux nœuds inutilisés du canevas. |
| Nettoyer les enregistrements de téléchargement de fichiers sécurisés | Nettoie les enregistrements de téléchargement de fichiers sécurisés. |
| Dédupliquer les enregistrements sources de l’indicateur | Déduplique les enregistrements sources des indicateurs. |
| Dédupliquer les enregistrements sources de l’objet | Déduplique les enregistrements sources de l’objet. |
| Dédupliquer les enregistrements sources d’observables | Déduplique les enregistrements sources des observables. |
| Désactiver les indicateurs expirés | Désactive les enregistrements d’indicateurs expirés. |
| Désactiver les objets expirés | Désactive les enregistrements d’objets expirés. |
| Désactiver les observables expirés | Désactive les enregistrements d’observables expirés |
| Migrer les données de TI vers TISC | Traite les enregistrements d’exécution de tâches de migration en attente |
| Renseigner les enregistrements agrégés pour les enregistrements sources des indicateurs | Identifie l’enregistrement agrégé parent pour les enregistrements sources d’indicateurs nouvellement créés |
| Renseigner les enregistrements agrégés pour les enregistrements sources de l’objet | Identifie l’enregistrement agrégé parent pour les enregistrements sources de l’objet nouvellement créés. |
| Renseigner les enregistrements agrégés pour les enregistrements sources d’observables | Identifie l’enregistrement agrégé parent pour les enregistrements sources d’observables nouvellement créés. |
| Renseigner la référence TISC dans TI | Remplit la référence de l’observable agrégé TISC dans l’enregistrement d’observable TI. |
| Traiter les importations approuvées | Traite les tâches d’importation approuvées. |
| Traiter les enregistrements de file d’attente MISP Dsm importés | Enregistrements de file d’attente d’ingestion de flux MISP traités en étapes. |
| Traiter les enregistrements de file d’attente d’importation d’indicateur MISP importés | Traite les données MISP intermédiaires ingérées à partir d’Import Intelligence |
| Traiter les enregistrements de file d’attente d’importation STIX importés | Traite les données STIX intermédiaires ingérées à partir d’Import Intelligence |
| Traiter les enregistrements de file d’attente d’importation STIX importés : ingestion | Traite les données STIX intermédiaires ingérées à partir des flux de menaces. |
| Traiter la migration des artefacts de ticket en attente | Migre les artefacts de ticket de l’application Threat Intelligence vers le centre de sécurité Threat Intelligence. |
| Traiter l’ingestion de source de menace en attente Enregistrements de file d’attente | Traite les enregistrements de file d’attente d’ingestion source en attente. |
| Traiter les entités en file d’attente pour le calculateur de score de menace | Traite les entrées en attente de la file d’attente du calculateur de menace |
| Traiter les enregistrements de file d’attente MISP Dsm en file d’attente | Processus mis en file d’attente Données MISP ingérées à partir du flux de menaces |
| Traiter les enregistrements de file d’attente d’importation d’indicateur MISP en file d’attente | Traite les données MISP en file d’attente ingérées à partir d’Import Intelligence |
| Traiter les enregistrements de file d’attente d’importation STIX en file d’attente : ingestion | Traite les données STIX mises en file d’attente ingérées à partir des flux de menaces. |
| Traiter les enregistrements de file d’attente d’importation d’indicateur STIX en file d’attente | Traite en file d’attente les données STIX ingérées à partir d’Import Intelligence |
| Traiter la file d’attente Webhook | Traite les enregistrements de file d’attente de webhooks en attente. |
| Réagrégater les enregistrements sources | Réagrège les enregistrements sources pour lesquels les enregistrements agrégés sont supprimés. |
| Supprimer l’enregistrement source filtré | Nettoie les enregistrements sources filtrés |
| Reprendre l’intégration de CrowdStrike Traiter le vérificateur de processus / Retraiter les enregistrements sources CrowdStrike | Reprend les exécutions d’intégration de flux CrowdStrike en attente de limite de taux/Enregistrements sources pour l’agrégation des relations |
| Synchroniser le nombre d’observables de faux positif | Synchronise les nombres de faux positifs observables avec les nombres de faux positifs par source |
| TISC : créer des lots de webhooks | Lots créés pour le webhook en file d’attente Entrées de file d’attente pour le traitement |
| Webhooks TISC déclenchés | Exécute les lots de webhooks en attente |
| Mise à jour de la relation Colonne archivée | Met à jour l’état de l’archivage des enregistrements source et cible de relation |