Arbeitsbereich für Security Incident Response ermöglicht es den Sicherheitsanalysten, die wichtigsten Informationen anzuzeigen, die dem Security Incident während des Incident-Korrekturprozesses zugeordnet sind. Die Schlüsselinformationen enthalten auch die zugehörigen Listen wie „Erkennbare Elemente“, „Ergebnisse der Bedrohungssuche“, „Sichtungssuche“, „Anreicherung erkennbarer Elemente“ usw.

In der klassischen Anwenderoberfläche sind die meisten Orchestration-Aktionen, die den vordefinierten Integrationen zugeordnet sind, in den zugehörigen Listen verfügbar. Beispielsweise sind „Bedrohungssuche ausführen“, „Anreicherung erkennbarer Elemente ausführen“ usw. in der zugehörigen Liste „Zugeordnete erkennbare Elemente“ vorhanden. Ebenso sind „Hostdetails abrufen“, „Netzwerkstatistiken abrufen“ usw. für die zugehörige Liste „Konfigurationselemente“ verfügbar.

Wenn ein Sicherheitsanalyst diese Aktionen ausführt, werden die Ergebnisse in einer anderen zugehörigen Liste eingetragen. Wenn ein Benutzer beispielsweise die Bedrohungssuche ausführen ausführt, sind die Ergebnisse in der Tabelle „Ergebnisse der Bedrohungssuche“ verfügbar. Manchmal sind Ergebnisse in mehreren verschiedenen Tabellen verfügbar. Während dieses Prozesses machen die Sicherheitsanalysten eine unzusammenhängende und unorganisierte Anwender-Experience, wenn es darum geht, die Informationen von mehreren Stellen miteinander in Beziehung zu setzen.

In der überarbeiteten Version von SIR Workspacebietet die Untersuchungs -Canvas (Registerkarte) alle erforderlichen Informationen logisch gruppiert an einem Ort, damit der Analyst die Untersuchung durchführen kann.