Cette section contient les éléments de listes connexes regroupés en sections, tels que les observables associés et les éléments de configuration.
La liste connexe suivante répertorie les groupes qui sont disponibles dans le cadre du système de base. Vous pouvez modifier ces groupes ou créer des groupes au sein de l’application et de leurs actions respectives.
Vous pouvez modifier ces groupes ou en créer de nouveaux. Pour plus d’informations, consultez la rubrique Configurer la liste connexe des incidents de sécurité Comment configurer et regrouper la liste connexe pour les incidents de sécurité et les tâches de réponse. Chaque liste connexe est entièrement fonctionnelle dans le SIR Workspace.
Liste connexe
Élément groupé
Impact sur l'entreprise
Éléments de configuration
Utilisateurs affectés
Éléments de configuration associés
Utilisateurs associés
Services affectés
Connaissance de la menace
Observables associés
Résultats de la recherche de menace
Hameçonnage
E-mails associés Phish
En-têtes d'hameçonnage associés
Incidents de sécurité associés
Incident de sécurité parent
Incident de sécurité enfant
Incident de sécurité similaire
Enregistrements SLA
SLA de tâche
Événements/alertes sources
Les événements ou alertes sources correspondent à la liste connexe activée de l’intégration SIEM, telle que l’e-mail source, les journaux d’exploration LogRhythm, les événements LogRhythm, l’attaque IBM QRadar agrégée, et ainsi de suite.
Remarque :
Cette liste dépend entièrement de l’intégration que vous avez dans votre instance. Pour afficher la liste connexe d’intégration SIEM pertinente, vous devez installer la dernière version.
Recherche de perception
Résultats de recherche de perceptions
Détails de la recherche de perception
Perception
Enrichissement des éléments observables
Résultats de l'enrichissement de l'observable
Événements MISP associés
Résultats de l'enrichissement MISP
Protection évolutive des points de terminaison (PEPT)
Détails de l'hôte
Processus en cours
Services d'exécution
Utilisateurs connectés
Statistiques réseau
Obtenir un fichier
Isoler les entrées de l'hôte
Actions supplémentaires sur le point de terminaison
Détails des ordinateurs liés à Microsoft Defender pour point de terminaison
Remarque :
En général, vous pouvez créer de nouveaux enregistrements, lier ou dissocier des enregistrements existants ou de nouveaux enregistrements par rapport au groupe de listes connexes, le cas échéant.
Configurer la liste connexe des incidents de sécurité
Vous pouvez ajouter de nouvelles listes connexes ou de nouveaux groupes de listes connexes, et modifier les groupes existants ou les listes connexes qui s’affichent dans l'.SIR Workspace
Avant de commencer
Les listes connexes des incidents de sécurité sont regroupées et affichées sous forme d’éléments de liste connexe de groupe dans l’onglet Enregistrements connexes de l’espace de travail.
Rôle requis : sn_si.admin
Procédure
Dans l’interface utilisateur classique, accédez à Tout > Incident de sécurité > Afficher les incidents ouverts.
Sélectionnez n’importe quel enregistrement d’incident.
Cliquez avec le bouton droit sur le menu contextuel de l’incident.
Accéder à Configurer > Liste connexe.
Le formulaire Configuration des listes connexes sur le formulaire Incident de sécurité s’affiche.
Accédez à Afficher le nom et sélectionnez Nouveau.
Donnez un nom à la vue.
Sélectionnez la vue nouvellement créée.
Après avoir sélectionné la vue, choisissez les champs de liste connexe requis dans la zone de sélection.
Remarque :
Si vous souhaitez modifier quoi que ce soit, sélectionnez la vue et supprimez ou ajoutez les éléments.
Cliquez sur Enregistrer.
Dans le volet de navigation de gauche, accédez à Tout > Cadre de travail Now Experience > Expériences.
Sélectionnez Espace de travail de Réponse aux incidents de sécurité.
La page Espace de travail de Réponse aux incidents de sécurité des applications UX s’affiche.
Accédez à l’onglet Propriétés de la page UX et sélectionnez l’option relatedListLayoutConfig dans la vue de liste.
Ajoutez le nom de la vue nouvellement créée, séparé par une virgule, à une liste de valeurs déjà existante dans la zone de texte Valeur sous le champ sn_si_incident.viewsUsedForGrouping .
Par exemple, si vous avez créé un nouveau nom d’affichage en tant que Business Impact, vous devez le business_impact spécifier dans la zone de texte Valeur (qui est séparé par un trait de soulignement dans le nom de la vue et séparé par une virgule après une valeur existante) sous le champ sn_si_incident :groups.
Remarque :
Si vous ajoutez le nouveau nom de la vue sous le champ sn_si_incident.viewsUsedForGrouping , l’entrée est créée dans l’onglet Enregistrements connexes de l’espace de travail.
Si vous mettez à jour l’entrée du nom de la vue dans si_other_records.viewsUsedForGrouping , le groupe de listes connexe est ajouté dans l’onglet Autres enregistrements de l’espace de travail.
Vous trouverez ci-dessous un exemple de vue qui montre les vues ajoutées nouvellement créées.
Remarque :
requiredRolesForGrouping contient des noms d’enregistrements de sys_user_role séparés par des virgules. L’utilisateur de l’espace de travail SIR doit avoir au moins un de ces rôles pour utiliser les listes connexes groupées. Lorsqu’un utilisateur ne possède aucun de ces rôles, la vue de listes connexes configurée pour le rôle d’utilisateur actuel à l’aide de la configuration de la règle de vue est représentée verticalement sans regroupement. Cette propriété est ignorée lorsque la propriété isGrouped est définie sur false. Si cette propriété est vide, tout utilisateur peut accéder aux listes connexes groupées.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
Sélectionnez un incident de sécurité spécifique.
Accédez à l’onglet Enregistrements connexes de l’espace de travail.
Les listes connexes groupées s’affichent.
Configurer la liste connexe des tâches de réponse
Utilisez cette section pour configurer les tâches de réponse nouvelles listes connexes qui apparaissent sur l’application Réponse aux incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
La liste connexe des tâches de réponse n’est pas regroupée, mais s’affiche sous forme d’éléments de liste connexes individuels, car il existe peu de listes par défaut. Affichez les éléments connexes des tâches de réponse dans l’onglet Tâches de réponse de l’enregistrement d’incident de sécurité de l’espace de travail.
Procédure
Accédez à la Tout > Incident de sécurité > Tâches de réponse > Afficher toutes les tâches.
Sélectionnez n’importe quel enregistrement de tâche de réponse.
Cliquez avec le bouton droit sur le menu contextuel de la tâche Réponse aux incidents de sécurité.
Accédez à la Configurer > Liste connexe.
La configuration des listes connexes du formulaire Tâche de réponse de sécurité s’affiche.
Allez dans Afficher le nom et sélectionnez la vue sirw .
Sélectionnez les champs de liste connexe souhaités dans la zone de sélection.
Par exemple, Emplacements affectés.
Cliquez sur Enregistrer.
Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité > Tâches de réponse > Enregistrements SIT.
Les listes connexes configurées (par exemple, emplacements affectés selon la sélection) sont répertoriées dans la liste des enregistrements SIT.
