Exemple 3 : Ajouter des entrées de détails d’exécution spécifiques à une implémentation : Exécuter des actions supplémentaires

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Ajoutez des entrées de détails d’exécution spécifiques à une implémentation, exécutez des actions supplémentaires.

    Vous pouvez effectuer l’action Exécuter les options d’intégration connexes des actions supplémentaires à l’aide de l’onglet Examiner de la SIR Workspace.

    1. Dans l’onglet Examiner , accédez à la section Listes de points d’entrée affichée sur le côté gauche de la page.
    2. Sélectionnez le point d’entrée respectif et exécutez l’action d’aptitude d’intégration.
      Remarque :
      Vous pouvez également accéder à l’onglet Enregistrements connexes sur l’espace de travail pour effectuer l’action des options d’intégration.

    Ajouter des entrées spécifiques à une implémentation

    Ajoutez des entrées de temps d’exécution spécifiques pour chacune des implémentations sélectionnées, le cas échéant.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Les implémentations disponibles sont répertoriées. Sélectionnez la ou les implémentations. Une fois que vous les avez sélectionnées, seuls les enregistrements pris en charge sont soumis sur chaque implémentation sélectionnée.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Ouvrez n’importe quel incident de sécurité.
    3. Accédez à l’onglet Examiner de l’espace de travail.
      L’onglet Examiner avec les listes de points d’entrée s’affiche.
      Onglet Examiner.
    4. Sélectionnez l’élément de configuration dans la liste de points d’entrée.
      Par exemple, sélectionnez la liste de points d’entrée de l’élément de configuration . Les enregistrements d’éléments de configuration correspondants s’affichent.
      Figure 1. Sélectionner un élément de configuration
      Sélectionnez un élément de configuration.
    5. Sélectionnez n’importe quel élément de configuration.
    6. Accédez à la liste déroulante des listes connexes qui s’affiche en haut de la page.
      Pour l’élément de configuration (CI) d’incident de sécurité, les listes déroulantes contiennent la liste suivante d’actions d’options. Les actions de CI répertoriées collectent les résultats et les stockent en tant que données d’enrichissement sur un incident de sécurité :
      • Obtenir un fichier : cette aptitude effectue l’action pour obtenir des fichiers avec une valeur de hachage spécifique ou un nom de fichier.
      • Isoler l’hôte : cette fonctionnalité limite les connexions du système à d’autres périphériques.
      • Obtenir les détails de l’hôte : cette fonctionnalité récupère les détails de l’hôte, les détails des utilisateurs connectés et d’autres options d’enrichissement.
      • Exécuter des actions supplémentaires : cette aptitude exécute les actions supplémentaires au-delà des actions standard.
      • Obtenir les statistiques réseau : cette fonctionnalité récupère les statistiques réseau pour une ressource affectée.
      • Obtenir l’exécution du processus : cette aptitude récupère une liste des processus en cours d’exécution sur un élément de configuration (CI) à partir d’un hôte.
      • Obtenir les utilisateurs connectés : cette fonctionnalité collecte les données des utilisateurs connectés et les relie à l’incident de sécurité.
    7. Sélectionnez Exécuter des actions supplémentaires pour effectuer une action d’options d’intégration liées à Threat Intel.
      La boîte de dialogue modale Exécuter des implémentations supplémentaires s’affiche.
    8. Sélectionnez une ou plusieurs implémentations dans la liste.
      Exécuter des actions supplémentaires
    9. Cliquez sur Suivant.
      Vous allez maintenant passer à l’étape suivante pour ajouter les détails de la durée d’exécution.
    10. Saisissez un commentaire à associer à l’action.
    11. Cliquez sur Envoyer.
      Enregistrements et notes de travail du flux d’activité soumis.
      Une fois les enregistrements sélectionnés soumis, un message s’affiche pour indiquer que la demande d’action supplémentaire est en cours d’exécution. En outre, la progression respective des actions d’implémentation est affichée dans la section Activité .
    12. Affichez les résultats de la section de liste connexe EDR.