Etapa 7. Criar configurações de registro de acúmulo

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Crie uma configuração de registro de acúmulo para vincular e desvincular registros adicionais do MSI.

    Antes de Iniciar

    Função necessária: admin e sn_msi.workspace_admin
    Nota:
    O administrador do sistema pode criar o registro e o administrador do espaço do MSI pode atualizá-lo.

    Para acumular informações, como itens de configuração, observáveis e indicadores de comprometimento relacionados a um caso de segurança, crie uma configuração de registro de acúmulo.

    Procedimento

    1. Navegar até Security Incident Response grave > Configuração de registros vinculados.
      A página Configurações de registro vinculado é exibida.
    2. Selecione ou crie um novo registro vinculado e navegue até a seção Configuração de registro de acúmulo na mesma página.
      Figura 1. Seção Configuração de registro de acúmulo
      Configuração de registro de acúmulo

    O que Fazer Depois

    Como escrever um script para um caso de segurança

    Gravar um script para um caso de segurança para acumular configuração de registro.

    Antes de Iniciar

    Função necessária: admin e sn_msi.workspace_admin
    Nota:
    O administrador do sistema pode criar o registro e o administrador do espaço do MSI pode atualizá-lo.

    Procedimento

    1. Pesquise as configurações de registro vinculado usando a navegação à esquerda.
    2. Navegar até Administração do MSI > Configuração de registro vinculada.
    3. Abra o registro de configuração que foi criado para um caso de segurança.
    4. A configuração do registro de acúmulo será exibida na seção Lista relacionada.
    5. Clique em Novo para criar uma nova configuração de registro de acúmulo.
      Abaixo está um registro de exemplo criado para acumular dados de observáveis relacionados ao caso de segurança que estamos tentando acumular com os valores de campo como:
      Nome Descrição
      Acumular tipo Relacionamento
      Nota:
      As informações do observável estão disponíveis em um formato de lista relacionada.
      Script de Acúmulo A entrada sourceSysId contém o SYS ID do caso de segurança e msiSysId contém o SYS ID do incidente de segurança grave.

      Script de acúmulo

      • Line 2: As a first step, query for Glide Record for sourceSysId from Security Case(sn_ti_case) table.
      • Line 7: Next, query sn_ti_m2m_task_observable table using security case sys ID to figure out all the linked observables to a security case.
      • Line 10: Next, iterate over all the linked observables and link them to a Major Security Incident using the method:
        MSIMRollupEngine.linkToMSI("entityGr", "sourceSysId", "fieldNameInLinkedRecordTable", "msiSysId", "isPrimaryRecord")