Enviar pesquisa de detecções para o TISC

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura
  • Usando este recurso, o analista de segurança pode enviar os dados de pesquisa de detecções do SIR para o TISC. Usando o contexto do TISC, o analista pode verificar se os dados de pesquisa de detecções estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados sempre que necessário.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Procedimento

    1. Navegue até Registros relacionados No espaço SIR para executar a ação de capacidade de integração do TISC.
      Nota:
      • Você também pode navegar até Investigação e navegue até Listas de pontos de entrada exibida no lado esquerdo da página e selecione Observáveis associados para executar a operação de envio.
      • Em Investigação clique em Exibir informações associadas para exibir todas as pesquisas de ameaças associadas, pesquisa de detecções e dados de aprimoramento do observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
    2. Selecionar Pesquisa de Vistas > Resultados da pesquisa de detecções Para executar a operação de envio e enviar manualmente os dados para o TISC.
    3. Selecione um ou mais registros de resultados da pesquisa de detecções.
      Pesquisa de detecções
    4. Clique em Enviar resultados para o TISC .
      Nota:
      • Se o observável de pesquisa de detecções selecionado não estiver presente no TISC, no modo manual, primeiro o observável é criado como fonte do observável e, em seguida, depois que o observável de origem cria o registro do observável do TISC, o registro do observável será associado automaticamente ao observável recém-criado. Além disso, a pesquisa de detecções selecionada também será enviada para o observável de pesquisa de ameaças recém-criado no modo manual.
      • Em um modo automático, os observáveis não serão enviados por push se o observável estiver presente, em seguida, as pesquisas de ameaça serão enviadas automaticamente. Se os observáveis não estiverem presentes, as pesquisas de ameaça não serão enviadas por push.
    5. Selecione Contexto do TISC .
      Contexto do TISC - detecções
      Nota:
      :
      • Agora, você verá o observável que é enviado para o TISC a partir da aplicação SIR.
      • Em uma operação de push manual : Os dados observáveis só podem ser enviados se estiverem vinculados aos incidentes de segurança. Depois que o observável for enviado do SIR, esses dados poderão ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
      • Em uma operação de push automática : Os dados observáveis ou de aprimoramento serão enviados automaticamente quando associados ao incidente de segurança.
      • Contexto do TISC Mostra todos os observáveis associados do SIR que também estão presentes no TISC.
      • Usando o contexto do TISC, os analistas DE SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento de observável.
      • Exibir informações associadas mostrará todos os dados de aprimoramento de observável associados dos observáveis selecionados.
    6. Depois que o registro for processado, selecione-o e clique em Exibir informações associadas .
    7. Exibe os resultados.
    8. Clique em qualquer registro de resultados de pesquisa de detecções para exibir o registro na exibição de formulário, que também mostra o push ou Tipo de ingestão (automático ou manual) e. Origem Será a Central de segurança de inteligência contra ameaças.
      Pesquisa de detecções - Exibir informações associadas