Explorer le canevas d’examen
L’objectif principal du canevas d’enquête est de présenter les données d’incident de sécurité nécessaires en un seul endroit commun.
Dans le , l’enquête sur les SIR Workspace incidents de sécurité s’articule principalement autour de quelques points d’entrée clés.
- Observables associés
- Éléments de configuration
- Utilisateurs affectés
- E-mails associés Phish
- Recherche d'e-mail
Vous pouvez également configurer des points d’entrée en ajoutant, modifiant ou supprimant les points d’entrée. Pour plus d'informations, consultez Configurer l’enquête sur le temps de conception SI.
Dans l’onglet Examen , la table Point d’entrée fait office de table parente. Toutes les tables qui contiennent les résultats d’une action d’orchestration effectuée sur la table parente sont présentées comme tables enfants dans le point d’entrée.
Par exemple, pour le point d’entrée Observables associés , la table Associer les observables est la table parente, et les autres tables telles que Résultats de recherche de menace et Résultats de soumission du bac à sable sont les tables enfants.
L’analyste de sécurité peut effectuer toutes les actions d’orchestration sur la table Observables associés et peut afficher toutes les informations associées sur la même page, sans avoir besoin de naviguer à plusieurs endroits.
L’onglet Examiner vous fournit un champ de notes de travail pour ajouter des commentaires et les publier. Vous pouvez également utiliser l’option E-mail pour envoyer un e-mail aux personnes concernées nécessaires.
La liste des tables enfants sous un point d’entrée est également configurable. Pour plus d'informations, consultez Configurer l’enquête sur le temps de conception SI.
- Sélectionnez le point d’entrée Observables associés dans la liste déroulante.
Ici, la table parente est également associée à l’observable.
Figure 1. Configurations de listes de points d'entrée - Sélectionnez un ou plusieurs observables dans la table parente.
- Exécutez l’aptitude souhaitée.
Par exemple, sélectionnez Exécuter une recherche de menace pour extraire les résultats de la recherche de menace pour un observable sélectionné.
Remarque :Lorsqu’une action observable correspondante est exécutée, le processus est exécuté dans le back-end et les résultats s’affichent sous la liste Observables. - Sélectionnez Afficher les informations associées pour afficher les résultats des observables. Les résultats sont affichés sur la même page.Remarque :Vous pouvez afficher les résultats à l’aide de filtres par résultats, sélectionnez Tous les résultats ou Derniers résultats. Par défaut, les derniers résultats s’affichent. S’il existe plusieurs implémentations (d’intégrations), les derniers résultats en fonction de l’implémentation sont affichés.
En outre, vous pouvez filtrer les résultats par listes connexes associées qui sont les résultats de la table enfant. Par défaut, toutes les listes connexes de la table enfant configurée s’affichent. Pour plus d'informations, consultez Configurer l’enquête sur le temps de conception SI. Toutefois, vous pouvez choisir de sélectionner uniquement les tables enfants requises.
- Sélectionnez Afficher les informations associées pour afficher toutes les données de la table enfant associée au même endroit. Toutefois, vous pouvez fermer la vue des listes connexes en sélectionnant le bouton Fermer la vue . Une fois que vous fermez la vue, vous ne pouvez voir que la table parente des observables comme précédemment.
- Sélectionnez l’icône Développer tout vers le haut dans la table Affichage des résultats des informations associées disponibles pour développer toutes les données de la table enfants des listes connexes.
- Sélectionnez l’icône Réduire tout vers le bas pour réduire toutes les données de table enfants des listes connexes.Sélectionnez l’observable pour ouvrir le formulaire d’enregistrement de la table parente dans un onglet différent avec une vue plus détaillée de l’enregistrement sélectionné. Toutes les données de table enfants associées de cet enregistrement sélectionné particulier sont également présentées dans la section Informations associées .Remarque :La bannière située en haut de la section des informations associées, qui contient toutes les données de la table enfant, indique le nombre d’informations connexes observables présentées à l’utilisateur. Par exemple, initialement, si vous sélectionnez deux observables et sélectionnez Afficher les informations associées, la bannière affiche : Affichage des informations associées disponibles pour 2 observables associés. Si vous sélectionnez un autre observable, la bannière indique que les informations sont obsolètes. Sélectionnez à nouveau Afficher les informations associées pour extraire les dernières données.
Toutefois, la section d’informations associée affiche uniquement les derniers résultats de la table enfants, tels qu’ils apparaissent dans le canevas d’examen, en mode lecture seule. Aucune action n’est possible dans cette vue. La page de formulaire de la table enfant peut être ouverte dans un nouvel onglet qui affiche la page entièrement fonctionnelle avec toutes les actions, le cas échéant.
Vous pouvez passer d’une table à l’autre à l’aide de la liste déroulante. Vous pouvez également développer ou réduire chaque formulaire dans la section d’informations associée.
Dans la page du formulaire Observable (page du formulaire d’enregistrement de la table parente), vous pouvez effectuer certaines actions selon les disponibilités. Chaque fois que vous effectuez une action, sélectionnez Actualiser sur la bannière d’informations associée pour actualiser les données.
- Sélectionnez Développer tout pour développer la table enfants des listes connexes. Par défaut, tous les enfants sont développés.
Figure 2. Vue développée des observables