Espace de travail de la Réponse aux incidents de sécurité permet aux analystes de sécurité de consulter les informations clés associées à l’incident de sécurité pendant le processus de correction de l’incident. Les informations clés comprennent également les listes connexes telles que les observables, les résultats de la recherche de menace, la recherche de perception, l’enrichissement des observables, etc.

Dans l’interface utilisateur classique, la plupart des actions d’orchestration associées aux intégrations prêtes à l’emploi sont disponibles par rapport aux listes connexes. Par exemple, Exécuter une recherche de menace, Exécuter l’enrichissement de l’observable, etc. sont présents par rapport à la liste connexe Observables associés. De même, Obtenir les détails de l’hôte, Obtenir les statistiques réseau, etc., sont disponibles par rapport à la liste connexe Éléments de configuration.

Lorsqu’un analyste de sécurité effectue ces actions, les résultats sont renseignés dans une liste connexe différente. Par exemple, lorsqu’un utilisateur exécute Exécuter une recherche de menaces, les résultats sont disponibles dans la table Résultats de la recherche de menaces. Parfois, les résultats sont disponibles dans plusieurs tables différentes. Au cours de ce processus, les analystes de sécurité ont une expérience utilisateur décousue et non organisée en reliant les informations provenant de plusieurs endroits.

Dans le nouveau SIR Workspace, le canevas d’enquête (onglet) fournit toutes les informations nécessaires regroupées logiquement en un seul endroit pour que l’analyste effectue l’enquête.