Enviar observáveis para o TISC

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Usando este recurso, o analista de segurança pode enviar os dados observáveis do SIR para o TISC. Usando o contexto do TISC, você pode verificar se os observáveis estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados sempre que necessário.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Procedimento

    1. Navegue até Registros relacionados No espaço SIR para executar a ação de capacidade de integração do TISC.
      Nota:
      • Você também pode navegar até Investigação e navegue até Listas de pontos de entrada exibida no lado esquerdo da página e selecione Observáveis associados para executar a operação de envio.
      • Em Investigação clique em Exibir informações relacionadas para exibir todas as pesquisas de ameaças associadas, pesquisa de detecções e dados de aprimoramento do observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
    2. Por exemplo, selecione Inteligência sobre ameaça > Observáveis Associados Para executar a operação de envio e enviar manualmente os dados para o TISC.
    3. Selecione um ou mais registros de observável para executar Enviar observável para o TISC operação para enviar os dados.
      Espaço SIR - Enviar observável para o TISC
    4. Clique em Enviar observável para o TISC .
      Nota:
      • Se o observável selecionado não estiver presente no TISC, primeiro o observável será criado como origem do observável e, depois que o observável de origem criar o registro do observável do TISC, o registro do observável será associado automaticamente ao observável recém-criado.
      • Quando a operação de push do observável for executada, uma mensagem informativa será exibida O Observável 0.0.0.0 foi enviado com sucesso para o TISC. A conversão pode levar algum tempo para refletir na guia de contexto do TISC .
      Enviar para a operação observável de push do TISC
    5. Selecione Contexto do TISC .
      Nota:
      :
      • Agora, você verá o observável que é enviado para o TISC a partir da aplicação SIR.
        Exibir informações associadas aos observáveis.
      • Em uma operação de push manual : Os dados observáveis só podem ser enviados se estiverem vinculados aos incidentes de segurança. Depois que o observável for enviado do SIR, esses dados poderão ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
      • Em uma operação de push automática : Os dados observáveis ou de aprimoramento serão enviados automaticamente quando associados ao incidente de segurança.
      • Contexto do TISC Mostra todos os observáveis associados do SIR que também estão presentes no TISC.
      • Usando o contexto do TISC, os analistas DE SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento de observável.
      • Exibir informações associadas mostrará todos os dados de aprimoramento de observável associados dos observáveis selecionados.
    6. Exibe os resultados.