Exemple 3 : Ajouter des entrées de détails d’exécution spécifiques à une implémentation : Exécuter des actions supplémentaires

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Ajouter des entrées de détails d’exécution spécifiques à une implémentation, exécuter des actions supplémentaires.

    Vous pouvez exécuter l’action d’options d’intégration associées à Exécuter des actions supplémentaires à l’aide de l’onglet Examen de .SIR Workspace

    1. Dans l’onglet Enquête , accédez à la section Listes de points d’entrée affichée sur le côté gauche de la page.
    2. Sélectionnez le point d’entrée correspondant et exécutez l’action d’aptitude d’intégration.
      Remarque :
      Vous pouvez également accéder à l’onglet Enregistrements connexes de l’espace de travail pour effectuer l’action sur les options d’intégration.

    Ajouter des entrées spécifiques à une implémentation

    Ajoutez des entrées de temps d’exécution spécifiques pour chacune des implémentations sélectionnées, le cas échéant.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Les implémentations disponibles sont répertoriées. Sélectionnez la ou les implémentations. Après les avoir sélectionnées, seuls les enregistrements pris en charge seront soumis pour chaque implémentation sélectionnée.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Ouvrez n’importe quel incident de sécurité.
    3. Accédez à l’onglet Enquête de l’espace de travail.
      L’onglet d’enquête avec les listes de points d’entrée s’affiche.
      Onglet Examen de l’espace de travail
    4. Sélectionnez l’élément de configuration dans la liste des points d’entrée.
      Par exemple, sélectionnez la liste des points d’entrée de l’élément de configuration . Les enregistrements d’éléments de configuration correspondants s’affichent.
      Figure 1. Sélectionner un élément de configuration
      Sélectionner un élément de configuration
    5. Sélectionnez n’importe quel élément de configuration.
    6. Accédez à la liste déroulante des listes connexes qui s’affiche en haut de la page.
      Pour l’élément de configuration (CI) d’incident de sécurité, les listes déroulantes contiennent la liste suivante d’actions d’option. Les actions de CI répertoriées collectent les résultats et les stockent en tant que données d’enrichissement sur un incident de sécurité :
      • Obtenir un fichier : cette fonctionnalité effectue l’action pour obtenir les fichiers avec une valeur de hachage ou un nom de fichier spécifique.
      • Isoler l’hôte : cette fonctionnalité limite les connexions du système à d’autres périphériques.
      • Obtenir les détails de l’hôte : cette fonctionnalité récupère les détails de l’hôte, les détails des utilisateurs connectés et d’autres options d’enrichissement.
      • Exécuter des actions supplémentaires : cette fonctionnalité exécute les actions supplémentaires au-delà des actions standard.
      • Obtenir les statistiques réseau : cette fonctionnalité récupère les statistiques réseau d’une ressource affectée.
      • Obtenir l’exécution du processus : cette fonctionnalité récupère une liste des processus en cours sur un élément de configuration (CI) d’un hôte.
      • Obtenir les utilisateurs connectés : cette fonctionnalité collecte les données des utilisateurs connectés et les associe à l’incident de sécurité.
    7. Sélectionnez Exécuter des actions supplémentaires pour effectuer l’action des options d’intégration liées à Threat Intel.
      La boîte de dialogue modale Exécuter des implémentations supplémentaires s’affiche.
    8. Sélectionnez une ou plusieurs implémentations dans la liste.
      Exécuter des actions supplémentaires
    9. Cliquez sur Suivant.
      Vous allez maintenant passer à l’étape suivante pour ajouter les détails du temps d’exécution.
    10. Saisissez un commentaire à associer à l’action.
    11. Cliquez sur Envoyer.
      Une fois les enregistrements sélectionnés envoyés, un message indiquant que la demande d’action supplémentaire est en cours d’exécution s’affiche. En outre, l’avancement des actions d’implémentation respectives est affiché dans la section Activité .
    12. Affichez les résultats de la section de liste connexe EDR.