Dieser Abschnitt besteht aus den zugehörigen Listenelementen, die in Abschnitte wie zugehörige erkennbare Elemente und Konfigurationselemente gruppiert sind.
In den folgenden zugehörigen Listen sind Gruppen aufgeführt, die als Teil des Basissystems verfügbar sind. Sie können diese Gruppen ändern oder Gruppen innerhalb der Anwendung und ihrer jeweiligen Aktionen erstellen.
Sie können diese Gruppen ändern oder neue Gruppen erstellen. Weitere Informationen zum Konfigurieren und Gruppieren der zugehörigen Liste für Security Incidents und Antwortaufgaben finden Sie unter Konfigurieren Sie die zugehörige Liste „Security Incident“.. Alle zugehörigen Listen sind innerhalb von SIR Workspacevoll funktionsfähig.
Zugehörige Liste
Gruppiertes Element
Geschäftsauswirkung
Konfigurationselemente
Betroffene Anwender
Zugehörige Configuration Items
Zugehörige Anwender
Betroffene Services
Bedrohungsinformationen
Zugehörige erkennbare Elemente
Ergebnisse der Bedrohungssuche
Phishing
Zugeordnete Phishing-E-Mails
Zugehörige Phishing-Header
Zugehörige Security Incidents
Übergeordneter Security Incident
Untergeordneter Security Incident
Ähnlicher Security Incident
SLA-Datensätze
Aufgaben-SLAs
Quell-Ereignisse/-warnungen
Quellereignisse oder -warnungen sind die SIEM-Integrations-fähige zugehörige Liste, z. B. Quell-E-Mail, LogRhythm-Drilldown-Protokolle, LogRhythm-Ereignisse, aggregierter IBM QRadar-Angriff usw.
Hinweis:
Diese Liste ist vollständig abhängig von der Integration, die Sie in Ihrer Instanz von haben. Um die relevante zugehörige Liste für die SIEM-Integration anzuzeigen, müssen Sie die neueste Version installieren.
Sichtungssuche
Ergebnisse der Sichtungssuche
Details einer Sichtungssuche
Sichtung
Ergänzung erkennbarer Elemente
Erkennbare Elemente – Datenanreicherungs-Ergebnisse
Zugeordnete MISP-Ereignisse
MISP-Datenanreicherungs-Ergebnisse
Endpoint Detection and Response (EDR
Hostdetails
Laufende Prozesse
Laufende Services
Angemeldete Anwender
Netzwerkstatistiken
Datei abrufen
Hosteinträge isolieren
Zusätzliche Aktion für Endpunkt
Microsoft Defender für Endpunkt-bezogene Computer – Details
Hinweis:
Im Allgemeinen können Sie neue Datensätze erstellen, vorhandene Datensätze verknüpfen oder neue Datensätze mit der zugehörigen Listengruppe verknüpfen oder die Verknüpfung aufheben.
Konfigurieren Sie die zugehörige Liste „Security Incident“.
Sie können neue zugehörige Listen oder neue zugehörige Listengruppen hinzufügen und vorhandene Gruppen oder zugehörige Listen ändern, die in SIR Workspaceangezeigt werden.
Vorbereitungen
Die zugehörige Liste „Security Incident“ wird gruppiert und als zugehörige Gruppenlistenelemente auf der Registerkarte Zugehörige Datensätze im Arbeitsbereich angezeigt.
Erforderliche Rolle: sn_si.admin
Prozedur
Navigieren Sie in der klassischen Anwenderoberfläche zu Alle > Security Incident > Offene Incidents anzeigenan.
Wählen Sie einen beliebigen Incident-Datensatz aus.
Klicken Sie mit der rechten Maustaste auf das Incident-Kontextmenü.
Gehe zu Konfigurieren > Zugehörige Listean.
Das Formular „Zugehörige Listen werden konfiguriert“ im Formular „Security Incident“ wird angezeigt.
Wechseln Sie zu Ansichtsname, und wählen Sie Neu.
Geben Sie einen Namen für die Ansicht ein.
Wählen Sie die neu erstellte Ansicht aus.
Nachdem Sie die Ansicht ausgewählt haben, wählen Sie die erforderlichen zugehörigen Listenfelder aus dem Slushbucket aus.
Hinweis:
Wenn Sie etwas ändern möchten, wählen Sie die Ansicht aus, und entfernen Sie die Elemente oder fügen Sie sie hinzu.
Klicken Sie auf Speichern.
Navigieren Sie im linken Navigationsbereich zu Alle > Now-Experience-Framework > Erfahrungenan.
Wählen Sie Arbeitsbereich für Security Incident Response aus.
Die Seite „ Arbeitsbereich für UX Application Security Incident Response “ wird angezeigt.
Wechseln Sie zur Registerkarte UX -Seiteneigenschaften, und wählen Sie in der Listenansicht die Option zugehörige Listenlayoutkonfiguration aus.
Fügen Sie den neu erstellten Ansichtsnamen, getrennt durch ein Komma, einer bereits vorhandenen Liste von Werten im Textfeld Wert unter dem Feld sn_si_incident.viewsUsedForGrouping hinzu.
Wenn Sie beispielsweise einen neuen Ansichtsnamen mit der Bezeichnung Geschäftsauswirkung erstellt haben, müssen Sie ihn im Textfeld Wert als business_impact (durch Unterstrich innerhalb des Ansichtsnamens und getrennt durch ein Komma nach einem vorhandenen Wert) unter sn_si_incident angeben Feld :groups.
Hinweis:
Wenn Sie den neuen Ansichtsnamen unter dem Feld sn_si_incident.viewsUsedForGrouping hinzufügen, wird der Eintrag auf der Registerkarte Zugehörige Datensätze des Arbeitsbereichs erstellt.
Wenn Sie den Eintrag für den Ansichtsnamen in „si_other_records.viewsUsedForGrouping “ aktualisieren, wird die zugehörige Listengruppe auf der Registerkarte „ Andere Datensätze “ des Arbeitsbereichs hinzugefügt.
Nachfolgend finden Sie eine Beispielansicht, in der die neu erstellten Ansichten hinzugefügt werden.
Hinweis:
„requiredRolesForGrouping “ enthält kommagetrennte sys_user_role-Datensatznamen. Der SIR Workspace-Anwender muss mindestens eine dieser Rollen haben, um die gruppierten zugehörigen Listen zu verwenden. Wenn ein Anwender über keine dieser Rollen verfügt, wird die zugehörige Listenansicht, die für die aktuelle Anwenderrolle mithilfe der Ansichtsregelkonfiguration konfiguriert wurde, vertikal ohne Gruppierung dargestellt. Diese Eigenschaft wird ignoriert, wenn die Eigenschaft „isGrouped“ auf „falsch“ festgelegt ist. Wenn diese Eigenschaft leer ist, kann jeder Anwender auf die gruppierten zugehörigen Listen zugreifen.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Responsean.
Wählen Sie einen bestimmten Security Incident aus.
Wechseln Sie zur Registerkarte Zugehörige Datensätze des Arbeitsbereichs.
Die gruppierten zugehörigen Listen werden angezeigt.
Konfigurieren Sie die zugehörige Liste „Antwortaufgabe“.
Verwenden Sie diesen Abschnitt, um neue zugehörige Listen für Antwortaufgaben zu konfigurieren, die in der Anwendung Security Incident Response angezeigt werden.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Die zugehörige Liste der Antwortaufgaben ist nicht gruppiert, sondern wird als einzelne zugehörige Listenelemente angezeigt, da einige Standardlisten vorhanden sind. Zeigen Sie die zugehörigen Elemente zu Antwortaufgaben auf der Registerkarte Antwortaufgaben des Security Incident-Datensatzes des -Arbeitsbereichs an.
Prozedur
Navigieren zu Alle > Security Incident > Antwortaufgaben > Alle Aufgaben anzeigenan.
Wählen Sie einen beliebigen Antwortaufgaben-Datensatz aus.
Klicken Sie mit der rechten Maustaste auf das Kontextmenü Security Incident Response-Aufgabe.
Navigieren zu Konfigurieren > Zugehörige Listean.
Das Konfigurationszugehörige Listen im Formular „Sicherheitsantwortaufgabe“ wird angezeigt.
Wechseln Sie zu Ansichtsname, und wählen Sie die Ansicht „Sirw-Ansicht “ aus.
Wählen Sie die gewünschten zugehörigen Listenfelder aus dem Slushbucket aus.
Beispiel: Betroffene Standorte.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response > Antwortaufgaben > SIT-Datensätzean.
Die konfigurierten zugehörigen Listen (z. B. „Betroffene Standorte als ausgewählt“) werden in der Liste der SIT-Datensätze aufgeführt.
