Enviar observáveis para o TISC

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Usando este recurso, o analista de segurança pode enviar os dados observáveis do SIR para o TISC. Usando o contexto do TISC, você pode verificar se os observáveis estão presentes no TISC. Caso contrário, o analista de segurança pode enviar os dados por push sempre que necessário.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Espaços > Espaço de resposta a incidentes de segurança > Incidentes de segurança > Tudo.
    2. Abra um incidente de segurança.
    3. Selecione Registros relacionados Para executar a ação de capacidade de integração do TISC.
      Nota:
      • Você também pode navegar até Investigação e navegue até Listas de pontos de entrada exibida no lado esquerdo da página e selecione Observáveis associados para executar a operação de envio.
      • Em Investigação , selecione Exibir informações relacionadas para exibir todos os dados de pesquisa de ameaças, pesquisa de vistas e aprimoramento associados para o observável selecionado. Para obter mais informações, consulte Explorar tela de investigação.
    4. Por exemplo, selecione Inteligência sobre ameaça > Observáveis Associados Para executar a operação de envio e enviar manualmente os dados para o TISC.
    5. Selecione um ou mais registros observáveis para executar Enviar observável para o TISC operação para enviar os dados por push.
      SIR Workspace - Enviar observável para o TISC
    6. Selecione Enviar observável para o TISC .
    7. Na tela Enviar observáveis para o TISC, forneça o seguinte:
      Tabela 1. Adicione informações aos observáveis do TISC
      Campo Descrição
      Confiança A pontuação de confiança dos observáveis.
      TLP O valor de TLP (Traffic Light Protocol, protocolo de semáforo) para os observáveis.
      Anotações Anotações para os observáveis.
      Marcadores de TISC Marcadores para os observáveis enviarem. Você pode adicionar marcadores personalizados que são adicionados aos observáveis.
    8. Selecione "Enviar".
      Nota:
      • Se o observável selecionado não estiver presente no TISC, primeiro o observável será criado como origem do observável e, depois que o observável de origem criar o registro do observável do TISC, o registro do observável será associado automaticamente ao observável recém-criado.
      • Uma vez que a operação de push do observável é executada, uma mensagem informativa é exibida.
        Os seguintes observáveis foram enviados com sucesso para o TISC.  Pode levar algum tempo para refletir na guia Contexto do TISC. 0.0.0.0
      • Se já existir um TISC observável, uma mensagem de erro será exibida.
        Os seguintes observáveis já existem no TISC: 0.0.0.0
      Enviar para a operação observável por push do TISC
    9. Selecione Contexto do TISC .
      Nota:
      :
      • Agora, você verá o observável que é enviado por push para o TISC a partir da aplicação SIR.
        Exibir informações associadas aos observáveis.
      • Em uma operação de push manual : Os dados observáveis só podem ser enviados por push se estiverem vinculados aos incidentes de segurança. Depois que o observável é enviado do SIR, esses dados podem ser identificados usando fontes que terão referência ao incidente de segurança vinculado ao observável.
      • Em uma operação de push automática : Os dados observáveis ou de aprimoramento serão enviados automaticamente quando associados a um incidente de segurança.
        Nota:
        . Enviar observável para o TISC a opção desaparece quando o fluxo automatizado é habilitado.
      • Contexto do TISC Mostra todos os observáveis associados ao SIR que também estão presentes no TISC.
      • Usando o contexto do TISC, os analistas DO SIR podem ver todos os dados de aprimoramento do TISC, incluindo pesquisas de ameaças, pesquisa de detecções e resultados de aprimoramento observável.
      • Exibir informações associadas mostrará todos os dados de aprimoramento de observável associados dos observáveis selecionados.
    10. Exibe os resultados.