Cette section contient les éléments de listes connexes regroupés en sections, telles que les observables associés et les éléments de configuration.
La liste connexe suivante répertorie les groupes disponibles dans le cadre du système de base. Vous pouvez modifier ces groupes ou créer des groupes au sein de l’application et de leurs actions respectives.
Vous pouvez modifier ces groupes ou en créer de nouveaux. Pour plus d’informations, consultez Configurer la liste connexe des incidents de sécurité la section sur la configuration et le regroupement de la liste connexe pour les incidents de sécurité et les tâches de réponse. Chaque liste connexe est entièrement fonctionnelle dans le SIR Workspace.
Liste connexe
Élément groupé
Impact sur l'entreprise
Éléments de configuration
Utilisateurs affectés
Éléments de configuration associés
Utilisateurs associés
Services affectés
Connaissance de la menace
Observables associés
Résultats de la recherche de menace
Hameçonnage
E-mails associés Phish
En-têtes d'hameçonnage associés
Incidents de sécurité associés
Incident de sécurité parent
Incident de sécurité enfant
Incident de sécurité similaire
Enregistrements SLA
SLA de tâche
Événements/alertes sources
Les événements ou alertes sources sont la liste connexe activée de l’intégration SIEM, telle que l’e-mail source, les journaux d’analyse LogRhythm, les événements LogRhythm, l’attaque IBM QRadar agrégée, etc.
Remarque :
Cette liste dépend entièrement de l’intégration que vous avez dans votre instance. Pour afficher la liste connexe d’intégration SIEM pertinente, vous devez installer la dernière version.
Recherche de perception
Résultats de recherche de perceptions
Détails de la recherche de perception
Perception
Enrichissement des éléments observables
Résultats de l'enrichissement de l'observable
Événements MISP associés
Résultats de l'enrichissement MISP
Protection évolutive des points de terminaison (PEPT)
Détails de l'hôte
Processus en cours
Services d'exécution
Utilisateurs connectés
Statistiques réseau
Obtenir un fichier
Isoler les entrées de l'hôte
Actions supplémentaires sur le point de terminaison
Détails des ordinateurs liés à Microsoft Defender pour point de terminaison
Remarque :
En général, vous pouvez créer de nouveaux enregistrements, lier ou dissocier des enregistrements existants ou de nouveaux enregistrements avec le groupe de listes connexes, le cas échéant.
Configurer la liste connexe des incidents de sécurité
Vous pouvez ajouter de nouvelles listes connexes ou de nouveaux groupes de listes connexes, et modifier les groupes existants ou les listes connexes qui s’affichent dans le SIR Workspace.
Avant de commencer
La liste connexe des incidents de sécurité est regroupée et affichée sous la forme d’éléments de liste connexe de groupe dans l’onglet Enregistrements connexes de l’espace de travail.
Rôle requis : sn_si.admin
Procédure
Dans l’interface utilisateur classique, accédez à Tous > Incident de sécurité > Afficher les incidents ouverts.
Sélectionnez n’importe quel enregistrement d’incident.
Cliquez avec le bouton droit sur le menu contextuel de l’incident.
Accéder à Configurer > Liste connexe.
Le formulaire Configuration des listes connexes sur l’incident de sécurité s’affiche.
Accédez à Afficher le nom et sélectionnez Nouveau.
Saisissez un nom pour la vue.
Sélectionnez la vue nouvellement créée.
Une fois que vous avez sélectionné la vue, choisissez les champs de liste connexe requis dans la zone de sélection.
Remarque :
Si vous souhaitez modifier quoi que ce soit, sélectionnez la vue et supprimez ou ajoutez les éléments.
Cliquez sur Enregistrer.
Dans le volet de navigation de gauche, accédez à Tous > Cadre de travail Now Experience > Expériences.
Sélectionnez Espace de travail de réponse aux incidents de sécurité.
La page Espace de travail de réponse aux incidents de sécurité de l’application UX s’affiche.
Accédez à l’onglet Propriétés de la page UX et sélectionnez l’option relatedListLayoutConfig dans la vue de liste.
Ajoutez le nom de la vue nouvellement créée, séparé par une virgule, à une liste de valeurs déjà existante dans la zone de texte Valeur sous le champ sn_si_incident.viewsUsedForGrouping .
Par exemple, si vous avez créé un nouveau nom de vue en tant que Business Impact , vous devez le spécifier dans la zone de texte Valeur en tant que business_impact (qui est séparé par un trait de soulignement dans le nom de la vue et séparé par une virgule après une valeur existante) sous le champ sn_si_incident :groups.
Remarque :
Si vous ajoutez le nouveau nom de la vue sous le champ sn_si_incident.viewsUsedForGrouping , l’entrée sera créée dans l’onglet Enregistrements connexes de l’espace de travail.
Si vous mettez à jour l’entrée nom de la vue dans si_other_records.viewsUsedForGrouping , le groupe de liste connexe est ajouté dans l’onglet Autres enregistrements de l’espace de travail.
Vous trouverez ci-dessous un exemple de vue montrant les vues ajoutées nouvellement créées.
Remarque :
requiredRolesForGrouping contient des noms d’enregistrements de sys_user_role séparés par des virgules. L’utilisateur de l’espace de travail SIR doit avoir au moins un de ces rôles pour utiliser les listes connexes groupées. Lorsqu’un utilisateur ne possède aucun de ces rôles, la vue de listes connexes configurée pour le rôle d’utilisateur actuel à l’aide de la configuration de la règle de vue est représentée verticalement sans regroupement. Cette propriété est ignorée lorsque la propriété isGrouped est définie sur false. Si cette propriété est vide, tous les utilisateurs peuvent accéder aux listes connexes groupées.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
Sélectionnez un incident de sécurité spécifique.
Accédez à l’onglet Enregistrements connexes de l’espace de travail.
Les listes connexes groupées s’affichent.
Configurer la liste connexe des tâches de réponse
Utilisez cette section pour configurer les nouvelles listes connexes des tâches de réponse qui apparaissent sur l’application Réponse aux incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
La liste connexe des tâches de réponse n’est pas regroupée, mais s’affiche sous forme d’éléments de liste connexes individuels, car il existe peu de listes par défaut. Affichez les éléments connexes des tâches de réponse dans l’onglet Tâches de réponse de l’enregistrement d’incident de sécurité de l’espace de travail.
Procédure
Accédez à la Tous > Incident de sécurité > Tâches de réponse > Afficher toutes les tâches.
Sélectionnez n’importe quel enregistrement de tâche de réponse.
Cliquez avec le bouton droit sur le menu contextuel de la tâche Réponse aux incidents de sécurité.
Accédez à la Configurer > Liste connexe.
Le formulaire Configuration des listes connexes sur le formulaire Tâche de réponse de sécurité s’affiche.
Accédez à Afficher le nom et sélectionnez Afficher SIRW .
Sélectionnez les champs de liste connexe souhaités dans la zone de sélection.
Par exemple, Emplacements affectés.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité > Tâches de réponse > Enregistrements SIT.
Les listes connexes configurées (par exemple, Emplacements affectés tel que sélectionné) sont répertoriées dans la liste d’enregistrements SIT.
