Esta seção consiste nos itens de listas relacionadas que são agrupados em seções, como observáveis associados e itens de configuração.
Os grupos relacionados a seguir listam os grupos que estão disponíveis como parte do sistema base. Você pode modificar esses grupos ou criar grupos na aplicação e suas respectivas ações.
Você pode modificar esses grupos ou criar novos grupos. Para obter mais informações, consulte Configure a lista relacionada a incidentes de segurança sobre como configurar e agrupar a lista relacionada para incidentes de segurança e tarefas de resposta. Cada lista relacionada é totalmente funcional no Espaço SIR.
Lista relacionada
Item agrupado
Impacto nos negócios
Itens de configuração
Usuários afetados
Itens de Configuração Relacionados
Usuários relacionados
Serviços afetados
Inteligência sobre ameaça
Observáveis Associados
Resultados da Pesquisa de ameaças
Phishing
E-mails de Phishing Associados
Cabeçalhos de phishing associados
Incidentes de segurança relacionados
Incidente primário de segurança
Incidente secundário de segurança
Incidente de segurança semelhante
Registro de ANS
ANS de tarefas
Eventos/alertas de origem
Os eventos ou alertas de origem são a lista relacionada habilitada para integração SIEM, como E-mail de origem, logs de detalhamento da LogRhythm, eventos da LogRhythm, ofensa agregada do IBM QRadar e assim por diante.
Nota:
Esta lista depende completamente da integração que você tem em sua instância. Para exibir a lista relacionada de integração SIEM relevante, você deve instalar a versão mais recente.
Pesquisa de Vistas
Resultados da pesquisa de detecções
Detalhes de Pesquisa de detecções
Vista
Aprimoramento de Observável
Resultados de enriquecimento observável
Eventos de MISP associados
Resultados de enriquecimento de MISP
Detecção e resposta de endpoint (EDR)
Detalhes do host
Processos em execução
Serviços em execução
Usuários Conectados
Estatísticas de Rede
Obter arquivo
Isolar Entradas de Host
Ações adicionais no endpoint
Detalhes do Microsoft Defender para máquinas relacionadas a endpoint
Nota:
Em geral, você poderá criar novos registros, vincular ou desvincular registros existentes ou novos registros do grupo de lista relacionado, conforme aplicável.
Configure a lista relacionada a incidentes de segurança
Você pode adicionar novas listas relacionadas ou novos grupos de listas relacionadas e modificar grupos existentes ou listas relacionadas que aparecem no Espaço SIR.
Antes de Iniciar
A lista relacionada ao incidente de segurança é agrupada e exibida como itens da lista relacionada ao grupo no Registros relacionados no espaço.
Função necessária: sn_si.admin
Procedimento
Na IU clássica, navegue até Tudo > Incidente de segurança > Mostrar incidentes em aberto.
Selecione qualquer registro de incidente.
Clique com o botão direito do mouse no menu de contexto do incidente.
Ir para Configurar > Lista relacionada.
. Configurando listas relacionadas no formulário Incidente de segurança é exibido.
Vá para Nome da exibição e selecione Novo .
Insira um nome para a exibição.
Selecione a exibição recém-criada.
Depois de selecionar a exibição, escolha os campos da lista relacionada obrigatórios no bucket de lama.
Nota:
Se você quiser modificar algo, selecione a exibição e remova ou adicione os itens.
Clique em Salvar.
Na navegação à esquerda, navegue até Tudo > Estrutura do Now Experience > Experiências.
Selecione Espaço de resposta a incidentes de segurança .
. Espaço de resposta a incidentes de segurança da aplicação UX a página é exibida.
Vá para Propriedades da página de UX e selecione RelatedListLayoutConfig na exibição de lista.
Adicione o nome de exibição recém-criado separado por uma vírgula a uma lista de valores já existente na Valor caixa de texto abaixo de sn_si_incident.visualizaçõesUtilizado ForAgrupamento campo.
Por exemplo, se você tiver criado um novo nome de exibição como, Impacto nos negócios em seguida, em Valor caixa de texto em que você deve especificá-la business_impact (que é separado por sublinhado no nome da exibição e separado por uma vírgula após um valor existente) no campo sn_si_incident:groups.
Nota:
Se você adicionar o novo nome de exibição em sn_si_incident.visualizaçõesUtilizado ForAgrupamento em seguida, a entrada será criada no Registros relacionados do espaço.
Se você atualizar a entrada do nome da exibição em si_other_records.visualizaçõesUtilizado para Agrupamento em seguida, o grupo de lista relacionado será adicionado em Outros registros do espaço.
Abaixo está um exemplo de exibição que mostra as exibições recém-criadas adicionadas.
Nota:
RequiredRolesForGrouping contém nomes de registro sys_user_role separados por vírgulas. O usuário do Espaço SIR deve ter pelo menos uma dessas funções para usar as listas relacionadas agrupadas. Quando um usuário não tiver nenhuma dessas funções, a exibição de listas relacionadas configurada para a função de usuário atual usando a configuração de regra de exibição será representada verticalmente sem agrupamento. Esta propriedade será ignorada quando Isagrupado a propriedade está definida como falsa. Se esta propriedade estiver vazia, qualquer usuário poderá acessar as listas relacionadas agrupadas.
Clique em Salvar.
Navegar até Espaços > Espaço de resposta a incidentes de segurança.
Selecione qualquer incidente de segurança específico.
Vá para Registros relacionados do espaço.
As listas relacionadas agrupadas são exibidas.
Configure a lista relacionada à tarefa de resposta
Use esta seção para configurar as novas listas relacionadas de tarefas de resposta que aparecem na aplicação Resposta a incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
A lista relacionada de tarefas de resposta não é agrupada, mas exibida como itens de lista relacionados individuais, pois há poucas listas padrão. Exiba os itens relacionados às tarefas de resposta do Tarefas de resposta guia do registro de incidente de segurança do espaço.
Procedimento
Navegar até Tudo > Incidente de segurança > Tarefas de resposta > Mostrar todas as tarefas.
Selecione qualquer registro de tarefa de resposta.
Clique com o botão direito do mouse no menu de contexto Tarefa de resposta a incidentes de segurança.
Navegar até Configurar > Lista relacionada.
. Configurando listas relacionadas no formulário Tarefa de resposta de segurança é exibido.
Vá para Nome da exibição e selecione sirw exibição.
Selecione os campos da lista relacionada desejados no bucket de lama.
Por exemplo, locais afetados.
Clique em Salvar.
Navegar até Espaços > Espaço de resposta a incidentes de segurança > Tarefas de resposta > Registros DO SIT.
As listas relacionadas configuradas (por exemplo, locais afetados conforme selecionado) estão listadas na lista de registros DO SIT.
