TISC에 옵저버블 보강 보내기

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • 이 기능을 사용하여 보안 분석가는 사이팅 검색 데이터를 SIR에서 TISC로 푸시할 수 있습니다. 분석가는 TISC 컨텍스트를 사용하여 TISC에 사이팅 검색 데이터가 있는지 확인할 수 있으며, 그렇지 않은 경우 보안 분석가는 필요할 때마다 데이터를 푸시할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    프로시저

    1. SIR 작업 공간의 관련 기록 탭으로 이동하여 TISC 통합 기능 작업을 수행합니다.
      주:
      • 조사 탭으로 이동하여 페이지 왼쪽에 표시되는 엔트리포인트 목록 섹션으로 이동하고 연결된 옵저버블을 선택하여 푸시 작업을 수행할 수도 있습니다.
      • 조사 탭에서 관련 정보 보기를 클릭하여 선택한 옵저버블에 대한 모든 관련 위협 조회, 사이팅 검색 및 보강 데이터를 봅니다. 자세한 내용은 조사 캔버스 탐색 문서를 참조하십시오.
    2. 선택 관찰 대상 보강 > 옵저버블 보강 결과 푸시 작업을 수행하고 데이터를 TISC에 수동으로 푸시합니다.
    3. 데이터를 푸시하기 위해 TISC에 결과 보내기 작업을 수행할 하나 이상의 옵저버블 기록을 선택합니다.
      TISC에 옵저버블 보강 보내기
    4. TISC에 결과 보내기를 클릭합니다.
      주:
      • 선택한 옵저버블이 TISC에 없는 경우 먼저 옵저버블이 옵저버블 소스로 생성되고 소스 옵저버블이 TISC 옵저버블 기록을 생성하면 옵저버블 기록이 새로 생성된 옵저버블과 자동으로 연결됩니다.
      • 옵저버블 푸시 작업이 수행되면 옵저버블 0.0.0.0이 TISC에 성공적으로 푸시되었다는 정보 메시지가 표시됩니다 . TISC 컨텍스트 탭에 반영되도록 변환하는 데 시간이 걸릴 수 있습니다.
    5. TISC 컨텍스트를 선택합니다.
      옵저버블 보강 결과
      주:
      :
      • 이제 SIR 애플리케이션에서 TISC로 푸시된 옵저버블이 표시됩니다.
      • 수동 푸시 작업의 경우: 옵저버블 데이터는 보안 인시던트에 연결된 경우에만 푸시할 수 있습니다. 옵저버블이 SIR에서 푸시되면 옵저버블에 연결된 보안 인시던트에 대한 참조가 있는 소스를 사용하여 해당 데이터를 식별할 수 있습니다.
      • 자동 푸시 작업에서: 옵저버블 또는 보강 데이터는 보안 인시던트에 연결될 때 자동으로 푸시됩니다.
      • TISC 컨텍스트 에는 TISC에도 있는 모든 SIR 관련 옵저버블이 표시됩니다.
      • SIR 분석가는 TISC 컨텍스트를 사용하여 위협 조회, 사이팅 검색 및 옵저버블 보강 결과를 포함한 모든 TISC 보강 데이터를 볼 수 있습니다.
      • 관련 정보 보기 에는 선택한 옵저버블의 연결된 모든 옵저버블 보강 데이터가 표시됩니다.
    6. 결과를 봅니다.
    7. 옵저버블 보강 결과 기록을 클릭하여 양식 뷰에서 기록을 봅니다. 이 기록에는 푸시 또는 수집 유형 (자동 또는 수동)과 소스 가 Threat Intelligence Security Center가 표시됩니다.
      옵저버블 보강 결과