SIR ワークスペース関連レコード
このセクションは、関連する観察事項や構成アイテムなどのセクションにグループ化された関連リストアイテムで構成されています。
次の関連リストは、ベースシステムの一部として利用可能なグループです。アプリケーションおよび各アクション内で、これらのグループを変更したりグループを作成したりすることができます。
これらのグループを変更することも、新しいグループを作成することもできます。セキュリティインシデントと応答タスクの関連リストを設定してグループ化する方法の詳細については、「セキュリティインシデント関連リストの設定」を参照してください。SIR ワークスペース 内では各関連リストの全機能が使用できます。
| 関連リスト | グループ化されたアイテム |
|---|---|
| ビジネスインパクト |
|
| Threat Intel |
|
| フィッシング |
|
| 関連するセキュリティインシデント |
|
| SLA レコード | タスク SLA |
| ソースイベント/アラート | ソースイベントまたはアラートは、ソースメール、LogRhythm ドリルダウンログ、LogRhythm イベント、集計された IBM QRadar 違反などの SIEM 統合が有効な関連リストです。 注: このリストは、インスタンスの統合に完全に依存します。関連する SIEM 統合関連リストを表示するには、最新バージョンをインストールする必要があります。 |
| サイティング検索 |
|
| 観測事象の拡張 |
|
| Endpoint Detection and Response (EDR) |
|
注:
一般に、必要に応じて関連リストグループに対して、新しいレコードを作成したり、既存のレコードや新しいレコードをリンクまたはリンク解除したりすることができます。
セキュリティインシデント関連リストの設定
新しい関連リストまたは新しい関連リストグループを追加し、SIR ワークスペース に表示される既存のグループまたは関連リストを変更できます。
始める前に
セキュリティインシデント関連リストがグループ化され、ワークスペースの [関連レコード] タブにグループ関連リストアイテムとして表示されます。
必要なロール:sn_si.admin
手順
-
クラシック UI で、 .
-
検索項目 .
[セキュリティインシデントフォームでの関連リストの構成 (Configuring related lists on Security Incident form)] が表示されます。
-
新しく作成したビューを選択します。
ビューを選択したら、スラッシュバケットから必要な関連リストフィールドを選択します。注:変更する場合は、ビューを選択してアイテムを削除または追加します。
-
[セキュリティインシデントレスポンスワークスペース] を選択します。
[UX アプリケーションセキュリティインシデントレスポンスワークスペース] ページが表示されます。
-
[ユーザーエクスペリエンスページプロパティ] タブに移動し、リストビューで [relatedListLayoutConfig] オプションを選択します。
-
[sn_si_incident.viewsUsedForGrouping] フィールドの下にある [値] テキストボックスの既存の値のリストに、新しく作成されたビュー名をカンマで区切って追加します。
たとえば、新しいビュー名を「ビジネスインパクト」として作成した場合、[値] テキストボックスで、それを [sn_si_incident:groups] フィールドの下の [business_impact] (ビュー名内ではアンダースコアで区切り、既存の値の後はカンマで区切る) として指定する必要があります。注:新しく作成されたビューが追加されたビューの例を以下に示します。[sn_si_incident.viewsUsedForGrouping] フィールドに新しいビュー名を追加すると、ワークスペースの [関連レコード] タブにエントリが作成されます。
[si_other_records.viewsUsedForGrouping] のビュー名エントリを更新すると、関連リストグループがワークスペースの [その他のレコード] タブに追加されます。
注:[requiredRolesForGrouping] には、カンマ区切りの sys_user_role レコード名が含まれています。グループ化された関連リストを使用するには、SIR ワークスペースユーザーがこれらのロールの少なくとも 1 つを持っている必要があります。ユーザーがこれらのロールを持っていない場合、表示ルール構成を使用して現在のユーザーロールに構成された関連リストビューは、グループ化されずに垂直に表示されます。[isGrouped] プロパティが false に設定されている場合、このプロパティは無視されます。このプロパティが空の場合、すべてのユーザーがグループ化された関連リストにアクセスできます。
応答タスク関連リストの設定
このセクションを使用して、セキュリティインシデントレスポンスアプリケーションに表示される応答タスクの新しい関連リストを設定します。
手順
-
移動先 .
-
[ビュー名] に移動し、[sirw] を選択します。
-
スラッシュバケットから目的の関連リストフィールドを選択します。
たとえば、[影響を受ける場所] です。
-
移動先 .
構成された関連リスト (選択された [影響を受ける場所] など) が SIT レコードリスト内に表示されます。