Enviar pesquisa de detecções para o TISC
Usando este recurso, o analista de segurança pode enviar os dados de pesquisa de detecções do SIR para o TISC. Usando o contexto do TISC, o analista pode verificar se os dados de pesquisa de detecções estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados sempre que necessário.
Antes de Iniciar
Função necessária: sn_si.analista
Procedimento
-
Navegue até Registros relacionados No espaço SIR para executar a ação de capacidade de integração do TISC.
Nota:
- Você também pode navegar até Investigação e navegue até Listas de pontos de entrada exibida no lado esquerdo da página e selecione Observáveis associados para executar a operação de envio.
- Em Investigação clique em Exibir informações associadas para exibir todas as pesquisas de ameaças associadas, pesquisa de detecções e dados de aprimoramento do observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
- Selecionar Pesquisa de Vistas > Resultados da pesquisa de detecções Para executar a operação de envio e enviar manualmente os dados para o TISC.
-
Selecione um ou mais registros de resultados da pesquisa de detecções.
-
Clique em Enviar resultados para o TISC .
Nota:
- Se o observável de pesquisa de detecções selecionado não estiver presente no TISC, no modo manual, primeiro o observável é criado como fonte do observável e, em seguida, depois que o observável de origem cria o registro do observável do TISC, o registro do observável será associado automaticamente ao observável recém-criado. Além disso, a pesquisa de detecções selecionada também será enviada para o observável de pesquisa de ameaças recém-criado no modo manual.
- Em um modo automático, os observáveis não serão enviados por push se o observável estiver presente, em seguida, as pesquisas de ameaça serão enviadas automaticamente. Se os observáveis não estiverem presentes, as pesquisas de ameaça não serão enviadas por push.
-
Selecione Contexto do TISC .
Nota::
- Agora, você verá o observável que é enviado para o TISC a partir da aplicação SIR.
- Em uma operação de push manual : Os dados observáveis só podem ser enviados se estiverem vinculados aos incidentes de segurança. Depois que o observável for enviado do SIR, esses dados poderão ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
- Em uma operação de push automática : Os dados observáveis ou de aprimoramento serão enviados automaticamente quando associados ao incidente de segurança.
- Contexto do TISC Mostra todos os observáveis associados do SIR que também estão presentes no TISC.
- Usando o contexto do TISC, os analistas DE SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento de observável.
- Exibir informações associadas mostrará todos os dados de aprimoramento de observável associados dos observáveis selecionados.
- Depois que o registro for processado, selecione-o e clique em Exibir informações associadas .
- Exibe os resultados.
-
Clique em qualquer registro de resultados de pesquisa de detecções para exibir o registro na exibição de formulário, que também mostra o push ou Tipo de ingestão (automático ou manual) e. Origem Será a Central de segurança de inteligência contra ameaças.