Componentes instalados com a Central de segurança do Inteligência contra ameaças

  • Versão de lançamento: Zurich
  • Atualizado 22 de ago. de 2025
  • 7 min. de leitura

    • Vários tipos de componentes são instalados quando você baixa e ativa o. Central de segurança de inteligência contra ameaças aplicação, incluindo funções e propriedades do usuário.

    Propriedades instaladas

    Função necessária: sn_sec_tisc.admin

    Usuários com a função Administrador de segurança [sn_sec_tisc.admin] podem modificá-los.

    Propriedade Uso
    Propriedades da Central de segurança de inteligência contra ameaças
    Todas as regras de correlação serão desabilitadas. Se só precisarmos desabilitar as regras de correlação selecionadas, use o campo "ativo" na regra de correlação.

    sn_sec_tisc.disable_correlation_rules
    • Tipo: verdadeiro | falso
    • Valor-padrão: falso
    Esta propriedade é usada para habilitar/desabilitar o processamento de agregados no recurso da calculadora de pontuação de ameaça.

    sn_sec_tisc.agregados_for_calculator
    • Tipo: verdadeiro | falso
    • Valor padrão: verdadeiro
    O número de linhas de dados brutos que serão salvas quando uma Pesquisa de vistas for realizada. Intervalo de 0 a 100

    sn_sec_tisc.sighting_search_raw_data_rows
    • Tipo: inteiro
    • Valor padrão: 50
    Associe resultados da pesquisa de detecções a ICs no CMDB.

    sn_sec_tisc.associate_ci_with_sighting_search
    • Tipo: verdadeiro | falso
    • Valor padrão: verdadeiro
    Isso controlará se os URLs das listas serão danificados ou não

    sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls
    • Tipo: verdadeiro | falso
    • Valor-padrão: falso
    Esta propriedade permitirá que as técnicas MITRE sejam acumuladas automaticamente para casos dos incidentes de segurança ou objetos associados.

    sn_sec_tisc.auto_rollup_mitre_data
    • Tipo: verdadeiro | falso
    • Valor padrão: verdadeiro
    Se verdadeiro, mostrará todas as táticas (incluindo aquelas sem técnicas associadas ao caso) para as listas do MITRE renderizadas no relatório.

    sn_sec_tisc.show_all_tactics_reporting
    • Tipo: verdadeiro | falso
    • Valor padrão: verdadeiro
    SYS ID do modelo de cliente de e-mail para a tabela Caso (sn_sec_tisc_case) que será usada no relatório de compartilhamento.

    sn_sec_tisc.reporting_email_template_sn_sec_tisc_case
    • Tipo: cadeia de caracteres
    • Valor padrão b55e22c5444021060eee0ea78b8f2df
    O nível de TLP padrão é aplicado ao criar um novo registro. Se não for definido manualmente no formulário, este valor será usado.

    sn_sec_tisc.tlp_default_value
    • Tipo: lista de seleção
    • Valor padrão 955c9e5543d35110baf06e434ab8f2fb
    Nível de registro em log: depurar, informativo, aviso, erro

    sn_sec_tisc.logging.detalhamento
    • Tipo: lista de seleção
    • Valor padrão: info
    Propriedades de feeds de inteligência contra ameaças
    Tempo máximo em segundos que uma conexão HTTP de saída aguarda para obter dados de coleta de TAXII

    sn_sec_tisc.taxii.http.max_timeout
    • Tipo: inteiro
    • Valor padrão: 300
    Número máximo de objetos recuperados em uma chamada REST de um servidor TAXII (aplicável somente para TAXII versões 2.0 e 2.1)

    sn_sec_tisc.taxii.max_page_size
    • Tipo: inteiro
    • Valor padrão : 5000
    Número máximo de novas tentativas para um TAXII2 com falha. X chamada REST

    sn_sec_tisc.taxii2.retry_count
    • Tipo: inteiro
    • Valor padrão: 3
    Número máximo de objetos recuperados em uma chamada REST do servidor Cyware TAXII

    sn_sec_tisc.cyware_taxii.max_page_size
    • Tipo: inteiro
    • Valor padrão: 1000
    Nota:
    Especifica o tamanho da página usado ao buscar dados de coleções TAXII relacionadas ao Feed do Cyware TAXII.

    Para todas as outras coleções TAXII, o tamanho da página recuperado da coleção TAXII é padronizado para o valor definido na propriedade correspondente: sn_sec_tisc.taxii.max_page_size .
    Número de registros a serem obtidos por vez do CrowdStrike. Maior o número, mais a memória seria consumida para processar a carga.

    sn_sec_tisc.crowdstrike_api_limit
    • Tipo: inteiro
    • Valor padrão: 1000
    Denota o número de indicadores a serem extraídos em uma única chamada de API.
    Nota:
    Aplicável somente quando a integração não encontra o necessário presente no sistema.

    sn_sec_tisc.crowdstrike_indicator_batch_size
    • Tipo: inteiro
    • Valor padrão: 1000
    Denota o número de atores a serem extraídos em uma única chamada de API.
    Nota:
    Aplicável somente quando a integração não encontra o necessário presente no sistema.

    sn_sec_tisc.crowdstrike_ator_batch_size
    • Tipo: inteiro
    • Valor padrão: 1000
    Denota o número de relatórios a serem extraídos em uma única chamada de API.
    Nota:
    Aplicável somente quando a integração não encontra o necessário presente no sistema.

    sn_sec_tisc.crowdstrike_report_batch_size
    • Tipo: inteiro
    • Valor padrão: 50
    O total permitido de deslocamento e limite da API do CrowdStrike.

    sn_sec_tisc.crowdstrike_offset_limit_total
    • Tipo: inteiro
    • Valor padrão : 50000
    Propriedades para REST APIs
    Define o tamanho máximo da página (número máximo de observáveis retornados como parte da resposta) para a API Obobservables Fetch. Aumentar para um valor alto, pois isso pode afetar o tempo de resposta da API.

    sn_sec_tisc.api_maximum_page_size_limit
    • Tipo: inteiro
    • Valor padrão: 1000
    Define o número máximo de observáveis que podem ser enviados no corpo da solicitação para a API de adição de observáveis. Aumentar para um valor alto, pois isso pode afetar o tempo de resposta da API.

    sn_sec_tisc.add_obs_api_max_records
    • Tipo: inteiro
    • Valor padrão: 100
    Propriedades dos webhooks
    Número máximo de eventos a serem enviados como parte de uma solicitação de webhook. O tamanho do lote será limitado a 2000 mesmo se um valor maior for definido nesta propriedade.

    sn_sec_tisc.webhook_max_event_batch_size
    • Tipo: inteiro
    • Valor padrão: 100
    Número de vezes que uma solicitação com falha deve ser tentada novamente antes de marcá-la como erro e passar para o próximo lote de eventos. A contagem de novas tentativas será limitada a 10 mesmo se um número maior for definido nesta propriedade.

    sn_sec_tisc.webhook_retry_count
    • Tipo: inteiro
    • Valor padrão: 100
    Número de segundos de espera antes de tentar novamente um lote com falha. Isso aumentará exponencialmente com base na contagem de novas tentativas. Por exemplo, se retry_count for 3 e retry_interval for 30, as novas tentativas serão disparadas após 30, 60 e 120s. O intervalo de novas tentativas inicial será limitado a 300 segundos, mesmo se um valor mais alto for definido nesta propriedade.

    sn_sec_tisc.webhook_retry_interval
    • Tipo: inteiro
    • Valor padrão: 30
    Ignorar eventos de webhook acionados pela reaplicação da pontuação de ameaça

    sn_sec_tisc.webhook_ignore_threat_score_reaplicar
    • Tipo: verdadeiro | falso
    • Valor padrão: verdadeiro
    Propriedades da tela de investigação
    Definir o valor como verdadeiro adiciona novos nós ao canto superior esquerdo, enquanto definir como falso os adiciona ao centro da tela.

    sn_sec_tisc.canvas_suspend_reLayout
    • Tipo: verdadeiro | falso
    • Valor padrão: verdadeiro
    Propriedades para exportação em formatos CTI
    Número máximo de linhas que podem ser exportadas para um arquivo STIX 2.1

    sn_sec_tisc.stix_export_limit
    • Tipo: inteiro
    • Valor padrão : 10000
    Incluir campos de tipo de Diário no arquivo de exportação.

    sn_sec_tisc.export_journal_fields
    • Tipo: verdadeiro | falso
    • Valor padrão: verdadeiro

    Trabalhos agendados

    A tabela a seguir descreve os trabalhos agendados:

    Trabalho Descrição
    Registros de origem do indicador agregado Agrega registros de origem do indicador.
    Agregar registros de origem de objeto Agrega registros de origem do objeto.
    Agregar registros de origem do observável Agrega registros de origem observável.
    Limpeza de importações obsoletas Limpa registros de trabalho de importação obsoletos.
    Limpeza de novos nós não utilizados da tela Limpa novos nós não utilizados da tela.
    Limpar registros de download de arquivo seguro Limpa registros de download seguro de arquivos.
    Registros de origem do indicador de desduplicação Registros de origem do indicador desduplicados.
    Registros de origem de objeto de desduplicação Registros de origem de objeto desduplicados.
    Desduplicar registros de origem do observável Desduplica registros de origem observável.
    Desativar indicadores expirados Desativa registros de indicador expirados.
    Desativar objetos expirados Desativa registros de objeto expirados.
    Desativar observáveis expirados Desativa registros observáveis expirados
    Migrar dados de TI para o TISC Processa registros de execução de trabalho de migração pendentes
    Preencha registros agregados para registros de origem do indicador Identifica o registro agregado primário para registros de origem de indicador recém-criados
    Preencha registros agregados para registros de origem de objeto Identifica o registro agregado primário para registros de origem de objeto recém-criados.
    Preencha registros agregados para registros de origem do observável Identifica o registro agregado primário para registros de origem observável recém-criados.
    Preencher Referência de TISC no TI Preenche a referência do observável agregado do TISC no registro do observável de TI.
    Importações aprovadas de processo Processa trabalhos de importação aprovados.
    Processar registros de fila importados do MISP DSM Registros de fila de ingestão do feed MISP em fases processados.
    Processar registros importados da fila de importação do indicador MISP Processa dados do MISP em fases ingeridos da inteligência de importação
    Processar registros importados da fila de importação do STIX Processa dados do STIX em fases ingeridos da inteligência de importação
    Processar registros importados da fila de importação do STIX - Ingestão Processa dados do STIX em fases ingeridos de feeds de ameaças.
    Processar migração de artefatos de caso pendentes Migra artefatos de caso da aplicação de inteligência contra ameaças para a central de segurança Inteligência contra ameaças.
    Processar registros pendentes da fila de ingestão de origem da ameaça Processa registros de fila de ingestão de origem pendentes.
    Processar entidades enfileiradas para a Calculadora de pontuação de ameaça processa entradas de fila da calculadora de ameaças pendentes
    Processar registros de fila do MISP DSM enfileirados Processa dados MISP enfileirados ingeridos do feed de ameaças
    Processar registros da fila de importação do indicador MISP na fila Processa dados de MISP enfileirados ingeridos da inteligência de importação
    Processar registros da fila de importação do STIX enfileirados - Ingestão Processa dados do STIX enfileirados ingeridos de feeds de ameaças.
    Processar registros da fila de importação do indicador STIX na fila Processa dados do STIX enfileirados ingeridos da inteligência de importação
    Fila do webhook de processo Processa registros de fila de webhook pendentes.
    Agregar novamente os registros de origem Agrega novamente os registros de origem dos quais os registros agregados são excluídos.
    Remover registro de origem filtrado Limpa registros de origem filtrados
    Retomar o Verificação de processo de integração do CrowdStrike/Reprocessar registros de origem do CrowdStrike Reinicia as execuções de integração de feed do CrowdStrike aguardando limite de taxa/registros de origem de relatório para agregar relacionamentos
    Contagem de observáveis falso-positivos de sincronização Sincroniza contagens de falsos positivos observáveis com contagens positivas de flase por origem
    TISC Criar lotes de webhook Lotes criados para entradas de fila de webhook enfileiradas para processamento
    Webhooks do TISC Fire Executa lotes de webhook pendentes
    Atualizando coluna Arquivada de Relacionamento Atualiza o status de arquivamento dos registros de origem e destino do relacionamento