Antes de usar o Espaço do analista de segurança

Como acessar o Espaço do analista de segurança

Para acessar este novo espaço, navegue até Incidente de segurança > Incidentes (Nova IU).

O espaço é aberto em uma guia separada do navegador.

Localize os incidentes de segurança que você deseja analisar com filtros rápidos

O Espaço do analista de segurança fornece várias ferramentas para filtrar a lista de incidentes de segurança para que você possa encontrar rapidamente os incidentes de segurança que deseja analisar. Os Filtros rápidos permitem selecionar um subconjunto dos incidentes de segurança com base nos critérios do filtro.

Basta clicar no filtro rápido que você deseja usar.

Você pode definir filtros rápidos adicionais, bem como filtros primários para Espaço do analista de segurança, usando o ambiente clássico. Para obter mais informações, consulte Configurar filtros primários e secundários para Espaço do analista de segurança.

Personalizar a lista de incidentes de segurança

Assim como acontece com todas as listas em sua instância, o Espaço do analista de segurança fornece ferramentas para personalizar a lista e classificar as informações exibidas para atender às suas necessidades de análise.

Economize tempo com a exibição Peek

Antes de abrir um registro de incidente de segurança, você pode economizar tempo usando a exibição Peek. Este recurso permite que você localize rapidamente artefatos de segurança vitais sem precisar recarregar a página inteira. Basta clicar no ícone > à esquerda de um número de incidente de segurança para dar uma olhada.

A exibição peek fornece um snapshot de informações vitais em uma única exibição. Essa exibição pode economizar um tempo valioso ao trabalhar com vários incidentes. Você pode clicar nas setas para baixo em determinados campos para fazer atualizações instantâneas, como atribuir um grupo de atribuição ou um analista específico.

Executar ações rápidas em um incidente de segurança

Depois de selecionar e abrir um incidente de segurança específico, você pode executar ações de economia de tempo no registro.

• Se o incidente de segurança estiver aberto, clique no ícone Editar registro para fazer mudanças rápidas em qualquer um dos campos. Se o registro for encerrado, você poderá alterar somente seu marcador.
• Clique em Gerenciar anexos para anexar arquivos ao incidente de segurança. Você também pode baixar ou remover arquivos anexados e editar a criptografia aplicada aos anexos.
• Clique em Compor e-mail para enviar um e-mail rápido a um colega. Os e-mails podem ser de forma livre ou você pode enviar e-mails predefinidos selecionados em uma lista de modelos. Os e-mails enviados e as respostas recebidas são capturados na Linha do tempo do incidente.
  Nota:

  Você pode criar modelos personalizados que contenham conteúdo reutilizável para e-mails e notificações por e-mail. As variáveis podem ser usadas para inserir informações específicas do incidente ou alerta de segurança, como a linha de assunto, a prioridade ou a categoria de ameaça. Use a tabela Incidente de segurança [sn_si_incident] para e-mails e notificações por e-mail relacionados a Security Incident Response. Para obter mais informações, consulte Modelos de e-mail.
• Clique em Mais para exibir um snapshot rápido do incidente de segurança, como a descrição, o impacto nos negócios e a prioridade. Você também pode clicar na seta para baixo nos campos Grupo de atribuição e Atribuído a para fazer mudanças instantâneas nesses campos.

Trabalhar com vários incidentes de segurança

A interface com guias permite que você mantenha vários incidentes de segurança abertos simultaneamente para que você possa alternar entre eles com um único clique. Isso pode economizar tempo e permitir que você tenha uma visão geral quando forem identificadas ameaças de várias origens.

Exibir informações de análise nas guias de incidente de segurança

Guia Visão geral

Use a guia Visão geral para exibir informações em um incidente de segurança em um único local. Não há necessidade de abrir outro aplicativo ou console.

Os blocos exibidos na guia Visão geral são personalizáveis. Você pode recolhê-los e expandi-los conforme necessário e movê-los arrastando o ícone de Punho. Clique no ícone Mais opções para excluir um bloco ou mudar o texto do título.

Guia Explorar

Configure os blocos exibidos na guia Visão geral usando a guia Explorar. Basta selecionar os blocos que você deseja exibir no painel esquerdo e clicar no ícone Fixar. Os blocos fixados aparecem automaticamente na guia Visão geral.

Listas relacionadas adicionais estão disponíveis em Usuários, Itens de configuraçãoe Incidentes.

Guia Linha do tempo do incidente

Use a guia Linha do tempo do incidente durante sua investigação para fins de acompanhamento. Toda vez que uma ação é realizada em um incidente de segurança, o sistema a registra na Linha do tempo do incidente.

• Você também pode adicionar anotações de trabalho manualmente à linha do tempo, digitando-as na caixa Adicionar anotações de trabalho e clicando em Publicar.
• Você pode pesquisar uma atividade específica da linha do tempo usando a caixa Pesquisar.
• O ícone Filtrar atividade permite exibir somente os tipos de atividade da linha do tempo que você deseja ver (por exemplo, somente incidentes criados por um analista específico).
• Você pode adicionar ou remover a Linha do tempo do Incidente na guia Visão geral usando o ícone Fixar/Desmarcar.

Manipular incidentes de segurança usando o Playbook

Resolva determinados tipos de ameaças à segurança passo a passo usando os Playbooks do analista de segurança internos. Por exemplo, um analista pode usar o playbook para resolver ataques de phishing e ameaças causados por atividades de código mal-intencionado. Para obter mais informações, consulte Resolver ameaças à segurança com o playbook.