Cette section se compose des éléments des listes connexes qui sont regroupés en sections telles que les observables associés et les éléments de configuration.
La liste connexe suivante répertorie les groupes disponibles dans le cadre du système de base. Vous pouvez modifier ces groupes ou créer des groupes au sein de l’application et de leurs actions respectives.
Vous pouvez modifier ces groupes ou en créer de nouveaux. Pour plus d’informations, consultez Configurer la liste connexe des incidents de sécurité comment configurer et regrouper la liste connexe pour les incidents de sécurité et les tâches de réponse. Chaque liste connexe est entièrement fonctionnelle dans le SIR Workspacefichier .
Liste connexe
Élément groupé
Impact sur l'entreprise
Éléments de configuration
Utilisateurs affectés
Éléments de configuration associés
Utilisateurs associés
Services affectés
Connaissance de la menace
Observables associés
Résultats de la recherche de menace
Hameçonnage
E-mails associés Phish
En-têtes d'hameçonnage associés
Incidents de sécurité associés
Incident de sécurité parent
Incident de sécurité enfant
Incident de sécurité similaire
Enregistrements SLA
SLA de tâche
Événements/alertes sources
Les événements ou alertes sources correspondent à la liste connexe Intégration SIEM activée, telle que l’e-mail source, les journaux d’analyse LogRhythm, les événements LogRhythm, l’attaque IBM QRadar agrégée, entre autres.
Remarque :
Cette liste dépend entièrement de l’intégration que vous avez dans votre instance. Pour afficher la liste connexe de l’intégration SIEM pertinente, vous devez installer la version la plus récente.
Recherche de perception
Résultats de recherche de perceptions
Détails de la recherche de perception
Perception
Enrichissement des éléments observables
Résultats de l'enrichissement de l'observable
Événements MISP associés
Résultats de l'enrichissement MISP
EDR (Endpoint Detection and Response)
Détails de l'hôte
Processus en cours
Services d'exécution
Utilisateurs connectés
Statistiques réseau
Obtenir un fichier
Isoler les entrées de l'hôte
Actions supplémentaires sur le point de terminaison
Détails des ordinateurs liés à Microsoft Defender pour point de terminaison
Remarque :
En général, vous pouvez créer de nouveaux enregistrements, lier ou dissocier des enregistrements existants ou de nouveaux enregistrements par rapport au groupe de listes connexes, le cas échéant.
Configurer la liste connexe des incidents de sécurité
Vous pouvez ajouter de nouvelles listes connexes ou de nouveaux groupes de listes connexes, et modifier les groupes ou listes connexes existants qui apparaissent dans le SIR Workspacefichier .
Avant de commencer
La liste connexe des incidents de sécurité est regroupée et affichée en tant qu’éléments de liste connexes de groupe dans l’onglet Enregistrements connexes de l’espace de travail.
Rôle requis : sn_si.admin
Procédure
Dans l’interface utilisateur classique, accédez à Tout > Incident de sécurité > Afficher les incidents ouverts.
Sélectionnez n’importe quel enregistrement d’incident.
Cliquez avec le bouton droit sur le menu contextuel de l’incident.
Accéder à Configurer > Liste connexe.
Le formulaire Configuration des listes connexes sur l’incident de sécurité s’affiche.
Accédez à Nom de la vue et sélectionnez Nouveau.
Entrez un nom pour la vue.
Sélectionnez la vue nouvellement créée.
Une fois que vous avez sélectionné la vue, choisissez les champs de liste connexe requis dans la zone de sélection.
Remarque :
Si vous souhaitez modifier quoi que ce soit, sélectionnez la vue et supprimez ou ajoutez les éléments.
Cliquez sur Enregistrer.
Dans le volet de navigation de gauche, accédez à Tout > Cadre de travail Now Experience > Expériences.
Sélectionnez Espace de travail Réponse aux incidents de sécurité.
La page Espace de travail de réponse aux incidents de sécurité de l’application UX s’affiche.
Accédez à l’onglet Propriétés de la page UX et sélectionnez l’option relatedListLayoutConfig dans la vue de liste.
Ajoutez le nom de la vue nouvellement créée, séparée par une virgule, à une liste de valeurs déjà existante dans la zone de texte Valeur , sous le champ sn_si_incident.viewsUsedForGrouping .
Par exemple, si vous avez créé un nouveau nom de vue en tant qu’Impact sur l’entreprise, vous devez le spécifier en tant que business_impact dans la zone de texte Valeur (qui est séparé par un trait de soulignement dans le nom de la vue et séparé par une virgule après une valeur existante) sous le champ sn_si_incident :groups.
Remarque :
Si vous ajoutez le nouveau nom de la vue sous le champ sn_si_incident.viewsUsedForGrouping , l’entrée est créée dans l’onglet Enregistrements connexes de l’espace de travail.
Si vous mettez à jour l’entrée de nom de la vue dans si_other_records.viewsUsedForGrouping , le groupe de listes connexes est ajouté dans l’onglet Autres enregistrements de l’espace de travail.
Vous trouverez ci-dessous un exemple de vue qui montre les vues nouvellement créées ajoutées.
Remarque :
requiredRolesForGrouping contient des noms d’enregistrements sys_user_role séparés par des virgules. L’utilisateur de l’espace de travail SIR doit avoir au moins un de ces rôles pour utiliser les listes connexes groupées. Lorsqu’un utilisateur ne dispose d’aucun de ces rôles, la vue de listes connexes configurée pour le rôle d’utilisateur actuel à l’aide de la configuration de la règle de vue est représentée verticalement sans regroupement. Cette propriété est ignorée lorsque la propriété isGrouped est définie sur false. Si cette propriété est vide, tout utilisateur peut accéder aux listes connexes regroupées.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
Sélectionnez un incident de sécurité spécifique.
Accédez à l’onglet Enregistrements connexes de l’espace de travail.
Les listes connexes groupées s’affichent.
Configurer la liste connexe des tâches de réponse
Utilisez cette section pour configurer les tâches de réponse de nouvelles listes connexes qui apparaissent sur l’application Réponse aux incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
La liste connexe des tâches de réponse n’est pas regroupée, mais affichée en tant qu’éléments de liste associés individuels, car il existe quelques listes par défaut. Affichez les éléments connexes des tâches de réponse à partir de l’onglet Tâches de réponse de l’enregistrement d’incident de sécurité de l’espace de travail.
Procédure
Accédez à la Tout > Incident de sécurité > Tâches de réponse > Afficher toutes les tâches.
Sélectionnez n’importe quel enregistrement de tâche de réponse.
Cliquez avec le bouton droit sur le menu contextuel Tâche de réponse aux incidents de sécurité.
Accédez à la Configurer > Liste connexe.
La configuration des listes connexes sur le formulaire Tâche de réponse de sécurité s’affiche.
Accédez à Nom de la vue et sélectionnez vue sirw .
Sélectionnez les champs de liste connexe souhaités dans la zone de sélection.
Par exemple, Emplacements affectés.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité > Tâches de réponse > Enregistrements SIT.
Les listes connexes configurées (par exemple, Emplacements affectés tels que sélectionnés) sont répertoriées dans la liste des enregistrements SIT.
