Exemplo 3: adicionar entradas de detalhes de tempo de execução específicas a uma implementação: executar ações adicionais

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Adicionar entradas de detalhes de tempo de execução específicas a uma implementação, Executar ações adicionais.

    Você pode executar a ação Executar ações adicionais relacionadas às capacidades de integração usando a guia Investigação do Espaço SIR.

    1. Na guia Investigação, navegue até a seção Listas de pontos de entrada exibida no lado esquerdo da página.
    2. Selecione o respectivo ponto de entrada e execute a ação da capacidade de integração.
      Nota:
      Você também pode navegar até a guia Registros relacionados no espaço para executar a ação de capacidades de integrações.

    Adicionar entradas específicas a uma implementação

    Adicione entradas de tempo de execução específicas para cada implementação selecionada, conforme aplicável.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    As implementações disponíveis são listadas. Selecione as implementações. Depois de selecioná-las, somente os registros compatíveis serão enviados em relação a cada implementação selecionada.

    Procedimento

    1. Navegar até Espaços > Espaço de resposta a incidentes de segurança.
    2. Abra qualquer incidente de segurança.
    3. Vá para a guia Investigação do espaço.
      A guia de investigação com as listas de pontos de entrada é exibida.
      Guia Investigação.
    4. Selecione o item de configuração na lista de pontos de entrada.
      Por exemplo, selecione a lista de ponto de entrada do item de configuração. Os registros de itens de configuração correspondentes são exibidos.
      Figura 1. Selecionar item de configuração
      Selecione Item de configuração.
    5. Selecione qualquer item de configuração.
    6. Navegue até as listas suspensas relacionadas que são exibidas na parte superior da página.
      Para o item de configuração (IC) de incidente de segurança, as listas suspensas contêm a seguinte lista de ações de capacidades. As ações de IC listadas coletam os resultados e os armazenam como dados de aprimoramento em um incidente de segurança:
      • Obter arquivo: esta capacidade executa a ação para obter arquivos com um valor de hash específico ou um nome de arquivo.
      • Isolar host: esta capacidade restringe as conexões do sistema a outros dispositivos.
      • Obter detalhes do host: esta capacidade recupera os detalhes do host, detalhes dos usuários conectados e outros recursos de enriquecimento.
      • Executar ações adicionais: esta capacidade executa as ações adicionais além das ações padrão.
      • Obter estatísticas de rede: esta capacidade recupera as estatísticas de rede de um recurso afetado.
      • Obter processo em execução: esta capacidade recupera uma lista de processos em execução em um item de configuração (IC) de um host.
      • Obter usuários conectados: esta capacidade reúne os dados de usuários conectados e os relaciona ao incidente de segurança.
    7. Selecione Executar ações adicionais para executar a ação de capacidades de integração relacionadas a inteligência de ameaças.
      A caixa de diálogo modal Executar implementações adicionais é exibida.
    8. Selecione uma ou mais implementações na lista.
      Executar ações adicionais
    9. Clique em Avançar.
      Agora você será movido para a próxima etapa para adicionar os detalhes do tempo de execução.
    10. Insira um comentário para associar à ação.
    11. Clique em Enviar.
      Registros enviados e anotações de trabalho do fluxo de atividades.
      Depois que os registros selecionados são enviados, uma mensagem é exibida informando que a solicitação de ação adicional está sendo executada. Além disso, o respectivo andamento da ação de implementação é exibido na seção Atividade.
    12. Exiba os resultados da seção da lista relacionada ao EDR.