Beispiel 3: Bestimmte Eingaben für Laufzeitdetails zu einer Implementierung hinzufügen: Zusätzliche Aktionen ausführen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Fügen Sie einer Implementierung bestimmte Eingaben für Laufzeitdetails hinzu, Zusätzliche Aktionen ausführen.

    Sie können die Aktion „ Zusätzliche Aktionen ausführen“ im Zusammenhang mit Integrationsfähigkeiten über die Registerkarte „ Untersuchung “ in SIR Workspaceausführen.

    1. Navigieren Sie auf der Registerkarte „ Untersuchung “ zum Abschnitt „ Einstiegspunktlisten “, der links auf der Seite angezeigt wird.
    2. Wählen Sie den entsprechenden Einstiegspunkt aus, und führen Sie die Aktion für die Integrationsfähigkeit aus.
      Hinweis:
      Sie können auch zur Registerkarte „ Zugehörige Datensätze “ im Arbeitsbereich navigieren, um die Aktion „Integrationsfunktionen“ auszuführen.

    Fügen Sie einer Implementierung bestimmte Eingaben hinzu

    Fügen Sie für jede der ausgewählten Implementierungen nach Bedarf spezifische Laufzeiteingaben hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Die verfügbaren Implementierungen werden aufgelistet. Wählen Sie die Implementierung(en) aus. Nach der Auswahl werden nur die unterstützten Datensätze für die ausgewählte(n) Implementierung(en) übermittelt.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response.
    2. Öffnen Sie einen beliebigen Security Incident.
    3. Wechseln Sie zur Registerkarte Untersuchung des Arbeitsbereichs.
      Die Registerkarte „Untersuchung“ mit den Einstiegspunktlisten wird angezeigt.
      Registerkarte „Untersuchung“ des Arbeitsbereichs
    4. Wählen Sie das Konfigurationselement aus der Einstiegspunktliste aus.
      Wählen Sie beispielsweise die Liste der Konfigurationselement -Einstiegspunkte aus. Die entsprechenden Configuration Items-Datensätze werden angezeigt.
      Abbildung : 1. Wählen Sie Konfigurationselement aus
      Wählen Sie Konfigurationselement aus
    5. Wählen Sie ein beliebiges Konfigurationselement aus.
    6. Navigieren Sie zur Dropdown-Liste „Zugehörige Listen“, die oben auf der Seite angezeigt wird.
      Für Security Incident-Konfigurationselemente (CIs) enthalten die Dropdown-Listen die folgende Liste von Fähigkeiten-Aktionen. Die aufgelisteten CI-Aktionen erfassen die Ergebnisse und speichern sie als Ergänzungsdaten zu einem Security Incident:
      • Datei abrufen: Diese Fähigkeit führt die Aktion aus, um Dateien mit einem bestimmten Hashwert oder Dateinamen abzurufen.
      • Host isolieren: Diese Fähigkeit schränkt Systemverbindungen zu anderen Geräten ein.
      • Hostdetails abrufen: Mit dieser Funktion werden die Hostdetails, Details der angemeldeten Benutzer und andere Ergänzungsfunktionen abgerufen.
      • Zusätzliche Aktionen ausführen: Diese Fähigkeit führt die zusätzlichen Aktionen aus, die über die Standardaktionen hinausgehen.
      • Netzwerkstatistiken abrufen: Mit dieser Funktion werden die Netzwerkstatistiken für eine betroffene Ressource abgerufen.
      • Laufenden Prozess abrufen: Diese Fähigkeit ruft eine Liste der laufenden Prozesse für ein Konfigurationselement (CI) von einem Host ab.
      • Angemeldete Benutzer abrufen: Mit dieser Funktion werden die Daten der angemeldeten Benutzer erfasst und mit dem Security Incident verknüpft.
    7. Wählen Sie Zusätzliche Aktionen ausführen aus, um die Aktion für Integrationsfunktionen im Zusammenhang mit Bedrohungsinformationen auszuführen.
      Das Dialogfeld „Zusätzliche Implementierungen ausführen“ wird angezeigt.
    8. Wählen Sie eine oder mehrere Implementierungen aus der Liste aus.
      Zusätzliche Aktionen ausführen
    9. Klicken Sie auf Next (Weiter).
      Sie gelangen nun zum nächsten Schritt, um die Ausführungszeitdetails hinzuzufügen.
    10. Geben Sie einen Kommentar ein, der der Aktion zugeordnet werden soll.
    11. Klicken Sie auf Absenden.
      Nachdem die ausgewählten Datensätze übermittelt wurden, wird eine Meldung angezeigt, dass die Anforderung „Zusätzliche Aktion“ ausgeführt wird. Außerdem wird der Fortschritt der jeweiligen Implementierungsaktion im Abschnitt „ Aktivität “ angezeigt.
    12. Zeigen Sie die Ergebnisse aus dem zugehörigen Listenabschnitt EDR an.