Esta seção consiste nos itens de listas relacionadas que são agrupados em seções, como observáveis associados e itens de configuração.
Os grupos de listas relacionadas a seguir que estão disponíveis como parte do sistema de base. Você pode modificar esses grupos ou criar grupos na aplicação e suas respectivas ações.
Você pode modificar esses grupos ou criar novos grupos. Para obter mais informações, consulte Configurar lista relacionada de incidentes de segurança sobre como configurar e agrupar a lista relacionada a incidentes de segurança e tarefas de resposta. Cada lista relacionada é totalmente funcional no Espaço SIR.
Lista relacionada
Item agrupado
Impacto nos negócios
Itens de configuração
Usuários afetados
Itens de Configuração Relacionados
Usuários relacionados
Serviços afetados
Inteligência sobre ameaça
Observáveis Associados
Resultados da Pesquisa de ameaças
Phishing
E-mails de Phishing Associados
Cabeçalhos de phishing associados
Incidentes de segurança relacionados
Incidente primário de segurança
Incidente secundário de segurança
Incidente de segurança semelhante
Registro de ANS
ANS de tarefas
Eventos/alertas de origem
Eventos ou alertas de origem são a lista relacionada à integração de SIEM habilitada, como e-mail de origem, logs de detalhamento do LogRhythm, eventos do LogRhythm, infração agregada do IBM QRadar e assim por diante.
Nota:
Esta lista depende totalmente da integração que você tem em sua instância. Para exibir a lista relacionada à integração SIEM relevante, você deve instalar a versão mais recente.
Pesquisa de detecções
Resultados da pesquisa de detecções
Detalhes de Pesquisa de detecções
Detecção
Aprimoramento de Observável
Resultados de enriquecimento observável
Eventos de MISP associados
Resultados de enriquecimento de MISP
Detecção e resposta de endpoint (EDR)
Detalhes do host
Processos em execução
Serviços em execução
Usuários Conectados
Estatísticas de Rede
Obter arquivo
Isolar Entradas de Host
Ações adicionais no endpoint
Detalhes do Microsoft Defender para máquinas relacionadas ao endpoint
Nota:
Em geral, você pode criar novos registros, vincular ou desvincular registros existentes ou novos registros em relação ao grupo de listas relacionadas, conforme aplicável.
Configurar lista relacionada de incidentes de segurança
Você pode adicionar novas listas relacionadas ou novos grupos de listas relacionadas e modificar grupos existentes ou listas relacionadas que aparecem no Espaço SIR.
Antes de Iniciar
A lista relacionada a incidentes de segurança é agrupada e exibida como itens de lista relacionada a grupo na guia Registros relacionados no espaço.
Função necessária: sn_si.admin
Procedimento
Na IU clássica, navegue até Todos > Incidente de segurança > Mostrar incidentes em aberto.
Selecione qualquer registro de incidente.
Clique com o botão direito do mouse no menu de contexto do incidente.
Ir para Configurar > Lista relacionada.
O formulário Configurando listas relacionadas no incidente de segurança é exibido.
Acesse Exibir nome e selecione Novo.
Insira um nome para a exibição.
Selecione a exibição recém-criada.
Depois de selecionar a exibição, escolha os campos de lista relacionada necessários no bucket de slush.
Nota:
Se você quiser modificar algo, selecione a exibição e remova ou adicione os itens.
Clique em Salvar.
Na navegação à esquerda, navegue até Todos > Estrutura do Now Experience > Experiências.
Selecione Espaço do Security Incident Response.
A página Espaço de resposta a incidentes de segurança da aplicação UX é exibida.
Vá para a guia Propriedades da página de UX e selecione a opção relatedListLayoutConfig na exibição de lista.
Adicione o nome de exibição recém-criado separado por uma vírgula a uma lista de valores já existente na caixa de texto Valor no campo sn_si_incident.viewsUsedForGrouping.
Por exemplo, se você tiver criado um novo nome de exibição como Impacto nos negócios, na caixa de texto Valor, deverá especificá-lo como business_impact (que é separado por sublinhado no nome da exibição e separado por uma vírgula após um valor existente) em sn_si_incident :campo de grupos.
Nota:
Se você adicionar o novo nome de exibição no campo sn_si_incident.viewsUsedForGrouping, a entrada será criada na guia Registros relacionados do espaço.
Se você atualizar a entrada do nome de exibição em si_other_records.viewsUsedForGrouping, o grupo de listas relacionadas será adicionado à guia Outros registros do espaço.
Abaixo está uma exibição de exemplo que mostra as exibições recém-criadas adicionadas.
Nota:
requiredRolesForGrouping contém nomes de registros sys_user_role separados por vírgulas. O usuário do Espaço SIR deve ter pelo menos uma dessas funções para usar as listas relacionadas agrupadas. Quando um usuário não tiver nenhuma dessas funções, a exibição de listas relacionadas configurada para a função do usuário atual usando a configuração de regra de exibição será representada verticalmente sem agrupamento. Esta propriedade é ignorada quando a propriedade isGrouped está definida como falsa. Se esta propriedade estiver vazia, qualquer usuário poderá acessar as listas relacionadas agrupadas.
Clique em Salvar.
Navegar até Espaços > Espaço de resposta a incidentes de segurança.
Selecione qualquer incidente de segurança específico.
Vá para a guia Registros relacionados do espaço.
As listas relacionadas agrupadas são exibidas.
Configurar lista relacionada de tarefas de resposta
Use esta seção para configurar as novas listas relacionadas a tarefas de resposta que aparecem na aplicação Security Incident Response.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
A lista relacionada de tarefas de resposta não é agrupada, mas exibida como itens de lista relacionados individuais, pois há algumas listas padrão. Exiba os itens relacionados às tarefas de resposta na guia Tarefas de resposta do registro de incidente de segurança do espaço.
Procedimento
Navegar até Todos > Incidente de segurança > Tarefas de Resposta > Mostrar todas as tarefas.
Selecione qualquer registro de tarefa de resposta.
Clique com o botão direito do mouse no menu de contexto da Tarefa do Security Incident Response.
Navegar até Configurar > Lista relacionada.
O formulário Configurando listas relacionadas na tarefa de resposta de segurança é exibido.
Vá para Exibir nome e selecione Exibição de sirw.
Selecione os campos de lista relacionada desejados no bucket de slush.
Por exemplo, Locais afetados.
Clique em Salvar.
Navegar até Espaços > Espaço de resposta a incidentes de segurança > Tarefas de Resposta > Registros de SIT.
As listas relacionadas configuradas (por exemplo, locais afetados conforme selecionado) são listadas na lista de registros SIT.
