Composants installés avec Threat Intelligence Security Center
Plusieurs types de composants sont installés lorsque vous téléchargez et activez l’application, notamment les rôles d’utilisateur et les Centre de sécurité des renseignements sur les menaces propriétés.
Propriétés installées
Rôle requis : sn_sec_tisc.admin
Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_sec_tisc.admin] peuvent les modifier.
| Propriété | Utilisation |
|---|---|
| Propriétés du Centre de sécurité des renseignements sur les menaces | |
| Toutes les règles de corrélation seront alors désactivées. Si nous avons juste besoin de désactiver les règles de corrélation sélectionnées, utilisez plutôt le champ « actif » de la règle de corrélation. sn_sec_tisc.disable_correlation_rules |
|
| Cette propriété permet d'activer/de désactiver le traitement des agrégats dans la fonctionnalité du calculateur de score de menace. sn_sec_tisc.agrégats_pour_calculatrice |
|
| Nombre de lignes de données brutes qui sont enregistrées lors de l’exécution d’une recherche d’observations. Plage 0 – 100 sn_sec_tisc.sighting_search_raw_data_rows |
|
| Associez les résultats de la recherche de perception aux CI dans la CMDB. sn_sec_tisc.associate_ci_with_sighting_search |
|
| Cela permet de contrôler si les URL des listes sont neutralisées ou non sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls |
|
| Cette propriété permet de déployer automatiquement la ou les techniques MITRE dans les tickets à partir des objets associés ou des incidents de sécurité. sn_sec_tisc.auto_rollup_mitre_data |
|
| Si vrai, affiche toutes les tactiques (y compris celles qui n'ont aucune technique associée au ticket) pour les listes MITRE rendues dans le rapport. sn_sec_tisc.show_all_tactics_reporting |
|
| ID système du modèle de client de messagerie pour la table Ticket (sn_sec_tisc_case) qui sera utilisé dans le rapport de partage. sn_sec_tisc.reporting_email_template_sn_sec_tisc_case |
|
| Le niveau TLP par défaut est appliqué lors de la création d’un nouvel enregistrement. Si elle n’est pas définie manuellement sur le formulaire, cette valeur sera utilisée. sn_sec_tisc.tlp_default_value |
|
| Niveau de connexion : débogage, information, avertissement, erreur sn_sec_tisc.logging.verbosité |
|
| Propriétés des flux de Renseignements sur les menaces | |
| Délai maximal, en secondes, pendant lequel une connexion HTTP sortante attend pour récupérer les données de collecte TAXII sn_sec_tisc.taxii.http.max_timeout |
|
| Nombre maximal d'objets récupérés dans un seul appel REST à partir d'un serveur TAXII (applicable uniquement pour les versions 2.0 et 2.1 de TAXII) sn_sec_tisc.taxii.max_taille_page_ |
|
| Nombre maximal de nouvelles tentatives pour un échec de TAXII2. X appel REST sn_sec_tisc.taxii2.retry_count |
|
| Nombre maximal d'objets récupérés dans un seul appel REST à partir du serveur Cyware TAXII sn_sec_tisc.cyware_taxii.max_taille_page_ |
Remarque :
Spécifie la taille de page utilisée lors de l’extraction des données à partir des collections TAXII liées au flux Cyware TAXII. Pour toutes les autres collections TAXII, la taille de page récupérée à partir de la collection TAXII est par défaut la valeur définie dans la propriété correspondante : |
| Nombre d’enregistrements à extraire simultanément à partir de CrowdStrike. Plus la valeur est élevée, plus la mémoire consommée pour le traitement de la charge utile est élevée. sn_sec_tisc.crowdstrike_api_limit |
|
| Indique le nombre d’indicateurs à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_indicator_batch_size |
|
| Indique le nombre d’acteurs à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_actor_batch_size |
|
| Indique le nombre de rapports à extraire dans un seul appel d’API. Remarque : Cela ne s’applique que lorsque l’intégration ne détecte pas la présence des éléments nécessaires dans le système. sn_sec_tisc.crowdstrike_report_batch_size |
|
| Total autorisé de décalage et de la limite par l'API CrowdStrike. sn_sec_tisc.crowdstrike_offset_limit_total |
|
| Propriétés des API REST | |
| Définit la taille maximale de la page (nombre maximal d’observables retournés dans le cadre de la réponse) pour l’API d’extraction des observables. Il n’est pas recommandé d’augmenter la valeur à une valeur élevée, car elle peut affecter le délai de réponse de l’API. sn_sec_tisc.api_maximum_page_size_limit |
|
| Définit le nombre maximal d’observables qui peuvent être envoyés dans le corps de la demande pour l’API d’ajout d’observables. Il n’est pas recommandé d’augmenter la valeur à une valeur élevée, car elle peut affecter le délai de réponse de l’API. sn_sec_tisc.add_obs_api_max_records |
|
| Propriétés des webhooks | |
| Nombre maximal d’événements à envoyer dans le cadre d’une demande de webhook. La taille du lot est limitée à 2 000 même si une valeur plus élevée est définie dans cette propriété. sn_sec_tisc.webhook_max_event_batch_size |
|
| Nombre de fois qu’une demande ayant échoué doit être réessayée avant de la marquer comme erreur et de passer au lot d’événements suivant. Le nombre de nouvelles tentatives est limité à 10 même si un nombre plus élevé est défini dans cette propriété. sn_sec_tisc.webhook_retry_count |
|
| Nombre de secondes à attendre avant de retenter un lot ayant échoué. Cette valeur augmentera de façon exponentielle en fonction du nombre de nouvelles tentatives. Par exemple, si retry_count est 3 et retry_interval est 30, les nouvelles tentatives sont déclenchées après 30, 60 et 120 secondes. L’intervalle entre les tentatives initiales est limité à 300 secondes, même si une valeur plus élevée est définie dans cette propriété. sn_sec_tisc.webhook_retry_interval |
|
| Ignorer les événements de webhook déclenchés par la réapplication du score de menace sn_sec_tisc.webhook_ignore_threat_score_reapply |
|
| Propriétés du canevas d'enquête | |
| Si vous définissez la valeur sur vrai, de nouveaux nœuds sont ajoutés dans le coin supérieur gauche alors qu'une définition sur faux les ajoute au centre du canevas. sn_sec_tisc.canvas_suspend_reLayout |
|
| Propriétés pour l’exportation au format CTI | |
| Nombre maximal de lignes pouvant être exportées vers un fichier STIX 2.1 sn_sec_tisc.stix_export_limit |
|
| Inclure les champs de type journal dans le fichier d'exportation. sn_sec_tisc.export_journal_fields |
|
Travaux planifiés
La table suivante décrit les travaux planifiés :
| Tâche | Description |
|---|---|
| Regrouper les enregistrements source de l’indicateur | Regroupe les enregistrements sources des indicateurs. |
| Regrouper les enregistrements sources de l’objet | Regroupe les enregistrements sources de l’objet. |
| Regrouper les enregistrements source observable | Regroupe les enregistrements sources des observables. |
| Nettoyage des importations périmées | Nettoie les enregistrements de tâches d’importation périmés. |
| Nettoyage des nouveaux nœuds de canevas inutilisés | Nettoie les nouveaux nœuds de canevas inutilisés. |
| Nettoyer les enregistrements de téléchargement de fichiers sécurisés | Nettoie les enregistrements de téléchargement de fichiers sécurisés. |
| Dédupliquer les enregistrements sources des indicateurs | Déduplique les enregistrements sources des indicateurs. |
| Dédupliquer les enregistrements sources de l’objet | Déduplique les enregistrements sources de l’objet. |
| Dédupliquer les enregistrements sources d’observables | Déduplique les enregistrements sources des observables. |
| Désactiver les indicateurs expirés | Désactive les enregistrements d’indicateurs expirés. |
| Désactiver les objets expirés | Désactive les enregistrements d’objets expirés. |
| Désactiver les observables expirés | Désactive les enregistrements d’observables expirés |
| Migrer les données de TI vers TISC | Enregistrements d’exécution de tâches de migration en attente de processus |
| Remplir les enregistrements agrégés pour les enregistrements sources des indicateurs | Identifie l’enregistrement agrégé parent pour les enregistrements sources d’indicateurs nouvellement créés |
| Remplir les enregistrements agrégés pour les enregistrements sources de l’objet | Identifie l’enregistrement agrégé parent pour les enregistrements sources d’objets nouvellement créés. |
| Remplir les enregistrements agrégés pour les enregistrements sources observables | Identifie l’enregistrement agrégé parent pour les enregistrements sources d’observables nouvellement créés. |
| Renseigner la référence TISC dans TI | Remplit la référence de l’observable agrégé TISC dans l’enregistrement d’observable TI. |
| Traiter les importations approuvées | Traite les tâches d’importation approuvées. |
| Traiter les enregistrements de file d’attente Dsm MISP importés | Enregistrements de file d’attente d’ingestion de flux MISP intermédiaires traités. |
| Traiter les enregistrements de file d’attente d’importation d’indicateurs MISP importés | Traite les données MISP intermédiaires ingérées à partir d’Import Intelligence |
| Traiter les enregistrements de file d’attente d’importation STIX importés | Données STIX intermédiaires ingérées à partir de l’intelligence d’importation |
| Traiter les enregistrements de file d’attente d’importation STIX importés : ingestion | Traite les données STIX intermédiaires ingérées à partir des flux de menaces. |
| Traiter la migration des artefacts de ticket en attente | Migre les artefacts de ticket de l’application Threat Intelligence vers le centre de sécurité Threat Intelligence. |
| Traiter l’ingestion de source de menace en attente Enregistrements de file d’attente | Traite les enregistrements de file d’attente d’ingestion source en attente. |
| Traiter les entités en file d’attente pour le calculateur de score de menace | Traite les entrées de file d’attente en attente du calculateur de menace |
| Traiter les enregistrements de file d’attente MISP Dsm mis en file d’attente | Processus mis en file d’attente Données MISP ingérées à partir du flux de menaces |
| Traiter les enregistrements de file d’attente d’importation d’indicateurs MISP en file d’attente | Processus mis en file d’attente Données MISP ingérées à partir de l’intelligence d’importation |
| Traiter les enregistrements de file d’attente d’importation STIX en file d’attente : ingestion | Traite les données STIX mises en file d’attente ingérées à partir des flux de menaces. |
| Traiter les enregistrements de file d’attente d’importation d’indicateurs STIX en file d’attente | Processus mis en file d’attente Données STIX ingérées à partir de l’intelligence d’importation |
| Traiter la file d’attente de webhooks | Traite les enregistrements de file d’attente de webhook en attente. |
| Réagrégater les enregistrements sources | Réagrège les enregistrements sources pour lesquels les enregistrements agrégés sont supprimés. |
| Supprimer l’enregistrement source filtré | Nettoie les enregistrements sources filtrés |
| Reprendre l’intégration CrowdStrike Traiter le vérificateur / retraiter les enregistrements sources CrowdStrike | Reprend les exécutions d’intégration de flux CrowdStrike en attente de limite de taux/Reporcess enregistrements sources pour l’agrégation de relations |
| Nombre d’observables de faux positif de synchronisation | Synchronise les nombres de faux positifs observables avec les nombres de faux positifs par source |
| TISC : créer des lots de webhooks | Lots créés pour le webhook en file d’attente Entrées de file d’attente pour le traitement |
| TISC Fire Webhooks | Exécute les lots de webhooks en attente |
| Mise à jour de la relation Colonne archivée | Met à jour l’état d’archivage des enregistrements sources et cibles des relations |