Cette section se compose des éléments des listes connexes qui sont regroupés en sections telles que les observables associés et les éléments de configuration.
Les groupes connexes suivants sont disponibles dans le cadre du système de base. Vous pouvez modifier ces groupes ou créer des groupes au sein de l’application et de leurs actions respectives.
Vous pouvez modifier ces groupes ou en créer de nouveaux. Pour plus d’informations, voir Configurer la liste connexe des incidents de sécurité comment configurer et regrouper la liste connexe pour les incidents de sécurité et les tâches de réponse. Chaque liste connexe est entièrement fonctionnelle dans le SIR Workspace.
Liste connexe
Élément groupé
Impact sur l'entreprise
Éléments de configuration
Utilisateurs affectés
Éléments de configuration associés
Utilisateurs associés
Services affectés
Connaissance de la menace
Observables associés
Résultats de la recherche de menace
Hameçonnage
E-mails associés Phish
En-têtes d’hameçonnage associés
Incidents de sécurité associés
Incident de sécurité parent
Incident de sécurité enfant
Incident de sécurité similaire
Enregistrements SLA
SLA de tâche
Événements/alertes sources
Les événements ou alertes sources correspondent à la liste connexe d’intégration SIEM activée, comme E-mail source, Journaux d’analyse LogRhythm, Événements LogRhythm, Infraction IBM QRadar agrégée, etc.
Remarque :
Cette liste dépend entièrement de l’intégration que vous avez dans votre instance. Pour afficher la liste connexe d’intégration SIEM pertinente, vous devez installer la version la plus récente.
Recherche de perception
Résultats de recherche de perceptions
Détails de la recherche d'observations
Perception
Enrichissement des éléments observables
Résultats de l'enrichissement de l'observable
Événements MISP associés
Résultats de l'enrichissement MISP
Endpoint Detection and Response (EDR)
Détails de l'hôte
Processus en cours
Services d'exécution
Utilisateurs connectés
Statistiques réseau
Obtenir un fichier
Isoler les entrées de l'hôte
Actions supplémentaires sur le point de terminaison
Détails de Microsoft Defender pour les ordinateurs liés au point de terminaison
Remarque :
En général, vous serez en mesure de créer de nouveaux enregistrements, de lier ou de dissocier des enregistrements existants ou de nouveaux enregistrements avec le groupe de listes connexes, le cas échéant.
Configurer la liste connexe des incidents de sécurité
Vous pouvez ajouter de nouvelles listes connexes ou de nouveaux groupes de listes connexes, et modifier les groupes ou listes connexes existants qui apparaissent dans le SIR Workspace.
Avant de commencer
Les listes connexes des incidents de sécurité sont regroupées et affichées en tant qu’éléments de liste connexe de groupe dans l’onglet Enregistrements connexes de l’espace de travail.
Rôle requis : sn_si.admin
Procédure
Dans l’interface utilisateur classique, accédez à Tous > Incident de sécurité > Afficher les incidents ouverts.
Sélectionnez n’importe quel enregistrement d’incident.
Cliquez avec le bouton droit sur le menu contextuel de l’incident.
Accéder à Configurer > Liste connexe.
Le formulaire Configuration des listes connexes sur l’incident de sécurité s’affiche .
Accédez à Nom de la vue et sélectionnez Nouveau.
Entrez un nom pour la vue.
Sélectionnez la vue nouvellement créée.
Une fois que vous avez sélectionné la vue, choisissez les champs de liste connexe requis dans la zone de sélection.Figure 1.
Remarque :
Si vous souhaitez modifier quoi que ce soit, sélectionnez la vue et supprimez ou ajoutez les éléments.
Cliquez sur Enregistrer.
Dans le panneau de navigation de gauche, accédez à Tous > Cadre de travail Now Experience > Expériences.
Sélectionnez l’espace de travail Réponse aux incidents de sécurité.
La page Espace de travail de Réponse aux incidents de sécurité de l’application UX s’affiche.
Accédez à l’onglet Propriétés de la page UX et sélectionnez l’option relatedListLayoutConfig dans la vue de liste.
Figure 2.
Ajoutez le nom de la vue nouvellement créée, séparée par une virgule, à une liste de valeurs déjà existante dans la zone de texte Value ( Valeur ) sous le champ sn_si_incident.viewsUsedForGrouping .
Par exemple, si vous avez créé un nouveau nom de vue en tant qu’impact sur l’entreprise, vous devez le spécifier comme business_impact dans la zone de texte Valeur (qui est séparé par un trait de soulignement dans le nom de la vue et séparé par une virgule après une valeur existante) sous le champ sn_si_incident :groups.Figure 3.
Remarque :
Si vous ajoutez le nouveau nom de vue sous le champ sn_si_incident.viewsUsedForGrouping , l’entrée sera créée dans l’onglet Enregistrements connexes de l’espace de travail.
Si vous mettez à jour l’entrée de nom de vue dans si_other_records.viewsUsedForGrouping , le groupe de listes connexes est ajouté dans l’onglet Autres enregistrements de l’espace de travail.
Vous trouverez ci-dessous un exemple de vue qui montre les vues nouvellement créées ajoutées.
Remarque :
requiredRolesForGrouping contient des noms d’enregistrements sys_user_role séparés par des virgules. L’utilisateur de l’espace de travail SIR doit disposer d’au moins un de ces rôles pour utiliser les listes connexes groupées. Lorsqu’un utilisateur ne dispose d’aucun de ces rôles, la vue des listes connexes configurée pour le rôle d’utilisateur actuel à l’aide de la configuration de la règle de vue est représentée verticalement sans regroupement. Cette propriété est ignorée lorsque la propriété isGrouped est définie sur faux. Si cette propriété est vide, tout utilisateur peut accéder aux listes connexes groupées.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
Sélectionnez un incident de sécurité spécifique.
Accédez à l’onglet Enregistrements connexes de l’espace de travail.
Les listes connexes groupées s’affichent.
Configurer la liste connexe des tâches de réponse
Utilisez cette section pour configurer les nouvelles listes connexes des tâches de réponse qui s’affichent sur l’application Réponse aux incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
La liste connexe des tâches de réponse n’est pas regroupée, mais affichée sous forme d’éléments de liste connexes individuels, car il existe quelques listes par défaut. Affichez les éléments connexes des tâches de réponse à partir de l’onglet Tâches de réponse de l’enregistrement d’incident de sécurité de l’espace de travail.
Procédure
Accédez à la Tous > Incident de sécurité > Tâches de réponse > Afficher toutes les tâches.
Sélectionnez un enregistrement de tâche de réponse.
Cliquez avec le bouton droit sur le menu contextuel Tâche Réponse aux incidents de sécurité.
Accédez à la Configurer > Liste connexe.
La configuration des listes connexes sur le formulaire Tâche de réponse de sécurité s’affiche.
Accédez à Nom de la vue et sélectionnez vue sirw .
Sélectionnez les champs de liste connexe souhaités dans la zone de sélection.
Par exemple, Emplacements affectés.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité > Tâches de réponse > Enregistrements SIT.
Les listes connexes configurées (par exemple, les emplacements affectés tels que sélectionnés) sont répertoriées dans la liste des enregistrements SIT.
