Dieser Abschnitt besteht aus den zugehörigen Listenelementen, die in Abschnitte wie zugeordnete erkennbare Elemente und Konfigurationselemente gruppiert sind.
Die folgenden zugehörigen Listengruppen sind als Teil des Basissystems verfügbar. Sie können diese Gruppen ändern oder Gruppen innerhalb der Anwendung und ihrer jeweiligen Aktionen erstellen.
Sie können diese Gruppen ändern oder neue Gruppen erstellen. Weitere Informationen zum Konfigurieren und Gruppieren der zugehörigen Liste für Security Incidents und Antwortaufgaben finden Sie unter Konfigurieren Sie die zugehörige Liste „Security Incident“.. Jede zugehörige Liste ist innerhalb der SIR Workspacevoll funktionsfähig.
Zugehörige Liste
Gruppiertes Element
Geschäftsauswirkung
Configuration Items
Betroffene Benutzer
Zugehörige Configuration Items
Zugehörige Benutzer
Betroffene Services
Bedrohungsinformationen
Zugehörige erkennbare Elemente
Suche nach Bedrohungen – Ergebnisse
Phishing
Zugeordnete Phishing-E-Mails
Zugehörige Phishing-Header
Zugehörige Security Incidents
Übergeordneter Security Incident
Untergeordneter Security Incident
Ähnlicher Security Incident
SLA-Datensätze
Aufgaben-SLAs
Quell-Ereignisse/-warnungen
Quell-Events oder -Warnungen sind die zugehörige Liste mit aktivierter SIEM-Integration, z. B. Quell-E-Mail, LogRhythm-Drilldown-Protokolle, LogRhythm-Ereignisse, zusammengefasster IBM QRadar-Angriff usw.
Hinweis:
Diese Liste ist vollständig von der Integration abhängig, die Sie in Ihrer Instanz haben. Um die relevante zugehörige SIEM-Integrationsliste anzuzeigen, müssen Sie die neueste Version installieren.
Sichtungssuche
Ergebnisse von Sightings Search
Details einer Sichtungssuche
Sichtung
Anreicherung erkennbarer Elemente
Ergänzung erkennbarer Elemente – Ergebnisse
Zugeordnete MISP-Ereignisse
MISP-Anreicherungsergebnisse
Endpunkterkennung und -reaktion (EDR).
Hostdetails
Laufende Prozesse
Laufende Services
Angemeldete Anwender
Netzwerkstatistiken
Datei abrufen
Hosteinträge isolieren
Zusätzliche Aktion für Endpunkt
Details zu Microsoft Defender für endpunktbezogene Computer
Hinweis:
Im Allgemeinen können Sie neue Datensätze erstellen, vorhandene Datensätze oder neue Datensätze mit der zugehörigen Listengruppe verknüpfen oder die Verknüpfung aufheben.
Konfigurieren Sie die zugehörige Liste „Security Incident“.
Sie können neue zugehörige Listen oder neue zugehörige Listengruppen hinzufügen und vorhandene Gruppen oder zugehörige Listen ändern, die im SIR Workspaceangezeigt werden.
Vorbereitungen
Die zugehörige Liste „Security Incident“ wird gruppiert und als gruppenbezogene Listenelemente auf der Registerkarte „ Zugehörige Datensätze “ im Arbeitsbereich angezeigt.
Erforderliche Rolle: sn_si.admin
Prozedur
Navigieren Sie in der klassischen Benutzeroberfläche zu Alle > Security Incident > Offene Incidents anzeigen.
Wählen Sie einen beliebigen Incident-Datensatz aus.
Klicken Sie mit der rechten Maustaste auf das Incident-Kontextmenü.
Gehe zu Konfigurieren > Zugehörige Liste.
Das Formular „Zugehörige Listen in Security Incident konfigurieren“ wird angezeigt.
Wechseln Sie zu Name anzeigen, und wählen Sie Neu.
Geben Sie einen Namen für die Ansicht ein.
Wählen Sie die neu erstellte Ansicht aus.
Nachdem Sie die Ansicht ausgewählt haben, wählen Sie die erforderlichen zugehörigen Listenfelder aus dem Slushbucket aus.Abbildung : 1.
Hinweis:
Wenn Sie etwas ändern möchten, wählen Sie die Ansicht aus, und entfernen oder fügen Sie die Elemente hinzu.
Klicken Sie auf Speichern.
Navigieren Sie in der linken Navigation zu Alle > Now-Experience-Framework > Erfahrungen.
Wählen Sie Security Incident Response Workspace aus.
Die Seite „ UX Application Security Incident Response Workspace “ wird angezeigt.
Wechseln Sie zur Registerkarte „ UX -Seiteneigenschaften“, und wählen Sie in der Listenansicht die Option relatedListLayoutConfig aus.
Abbildung : 2.
Fügen Sie den neu erstellten Ansichtsnamen, getrennt durch ein Komma, einer bereits vorhandenen Liste von Werten im Textfeld Wert unter dem Feld sn_si_incident.viewsUsedForGrouping hinzu.
Wenn Sie beispielsweise einen neuen Ansichtsnamen mit dem Namen Geschäftsauswirkung erstellt haben, müssen Sie ihn im Textfeld Wert als business_impact (durch Unterstrich innerhalb des Ansichtsnamens und durch ein Komma nach einem vorhandenen Wert getrennt) unter sn_si_incident angeben :Gruppenfeld.Abbildung : 3.
Hinweis:
Wenn Sie den neuen Ansichtsnamen unter dem Feld „sn_si_incident.viewsUsedForGrouping “ hinzufügen, wird der Eintrag auf der Registerkarte „ Zugehörige Datensätze “ des Arbeitsbereichs erstellt.
Wenn Sie den Ansichtsnameneintrag in si_other_records.viewsUsedForGrouping aktualisieren, wird die zugehörige Listengruppe auf der Registerkarte „ Andere Datensätze “ des Arbeitsbereichs hinzugefügt.
Unten sehen Sie eine Beispielansicht, in der die neu erstellten Ansichten hinzugefügt werden.
Hinweis:
„requiredRolesForGrouping “ enthält kommagetrennte sys_user_role-Datensatznamen. SIR-Arbeitsbereichsbenutzer müssen über mindestens eine dieser Rollen verfügen, um die gruppierten zugehörigen Listen zu verwenden. Wenn ein Benutzer keine dieser Rollen hat, wird die für die aktuelle Benutzerrolle konfigurierte zugehörige Listenansicht mithilfe der Ansichtsregelkonfiguration vertikal ohne Gruppierung dargestellt. Diese Eigenschaft wird ignoriert, wenn die Eigenschaft isGrouped auf „false“ festgelegt ist. Wenn diese Eigenschaft leer ist, kann jeder Benutzer auf die gruppierten zugehörigen Listen zugreifen.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response.
Wählen Sie einen bestimmten Security Incident aus.
Wechseln Sie zur Registerkarte Zugehörige Datensätze des Arbeitsbereichs.
Die gruppierten zugehörigen Listen werden angezeigt.
Konfigurieren Sie die zugehörige Liste für Antwortaufgaben
Verwenden Sie diesen Abschnitt, um neue zugehörige Listen für Antwortaufgaben zu konfigurieren, die in der Security Incident Response-Anwendung angezeigt werden.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Die zugehörige Liste der Antwortaufgaben wird nicht gruppiert, sondern als einzelne zugehörige Listenelemente angezeigt, da nur wenige Standardlisten vorhanden sind. Zeigen Sie die mit den Antwortaufgaben verbundenen Elemente auf der Registerkarte „Antwortaufgaben “ des Security Incident-Datensatzes des Arbeitsbereichs an.
Prozedur
Navigieren zu Alle > Security Incident > Antwortaufgaben > Alle Aufgaben anzeigen.
Wählen Sie einen beliebigen Antwortaufgabendatensatz aus.
Klicken Sie mit der rechten Maustaste auf das Kontextmenü der Security Incident Response-Aufgabe.
Navigieren zu Konfigurieren > Zugehörige Liste.
Das Formular „Zugehörige Listen in Sicherheitsreaktionsaufgabe konfigurieren“ wird angezeigt.
Wechseln Sie zu Ansichtsname, und wählen Sie die Ansicht sirwaus.
Wählen Sie die gewünschten zugehörigen Listenfelder aus dem Slushbucket aus.
Beispiel: Betroffene Standorte.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response > Antwortaufgaben > SIT-Datensätze.
Die konfigurierten zugehörigen Listen (z. B. „Betroffene Standorte“, wie ausgewählt) werden in der SIT-Datensatzliste aufgelistet.
