Esta seção consiste nos itens das listas relacionadas que são agrupados em seções, como observáveis associados e itens de configuração.
Os grupos relacionados a seguir listam os grupos que estão disponíveis como parte do sistema de base. Você pode modificar esses grupos ou criar grupos na aplicação e suas respectivas ações.
Você pode modificar esses grupos ou criar novos grupos. Para obter mais informações, consulte Configurar Lista relacionada de incidentes de segurança sobre como configurar e agrupar a lista relacionada para incidentes de segurança e tarefas de resposta. Cada lista relacionada é totalmente funcional em Espaço SIR.
Lista relacionada
Item agrupado
Impacto nos negócios
Itens de configuração
Usuários afetados
Itens de Configuração Relacionados
Usuários relacionados
Serviços afetados
Inteligência sobre ameaça
Observáveis Associados
Resultados da Pesquisa de ameaças
Phishing
E-mails de Phishing Associados
Cabeçalhos de phishing associados
Incidentes de segurança relacionados
Incidente primário de segurança
Incidente secundário de segurança
Incidente de segurança semelhante
Registro de ANS
ANS de tarefas
Eventos/alertas de origem
Eventos ou alertas de origem são a lista relacionada habilitada para integração SIEM, como E-mail de origem, LogRhythm Drill Down Logs, LogRhythm Events, Ofensão agregada do IBM QRadar e assim por diante.
Nota:
Esta lista depende completamente da integração que você tem em sua instância. Para exibir a lista relacionada de integração SIEM relevante, você deve instalar a versão mais recente.
Pesquisa de Vistas
Resultados da pesquisa de detecções
Detalhes de Pesquisa de detecções
Detecção
Aprimoramento de Observável
Resultados de enriquecimento observável
Eventos de MISP associados
Resultados de enriquecimento de MISP
Detecção e resposta de endpoint (EDR
Detalhes do host
Processos em execução
Serviços em execução
Usuários Conectados
Estatísticas de Rede
Obter arquivo
Isolar Entradas de Host
Ações adicionais no endpoint
Detalhes do Microsoft Defender para máquinas relacionadas a endpoint
Nota:
Em geral, você poderá criar novos registros, vincular ou desvincular registros existentes ou novos registros em relação ao grupo de lista relacionada, conforme aplicável.
Configurar Lista relacionada de incidentes de segurança
Você pode adicionar novas listas relacionadas ou novos grupos de listas relacionadas e modificar grupos existentes ou listas relacionadas que aparecem em Espaço SIR.
Antes de Iniciar
A lista relacionada de incidentes de segurança é agrupada e exibida como itens da lista relacionada ao grupo no Registros relacionados no espaço.
Função necessária: sn_si.admin
Procedimento
Na IU clássica, navegue até Tudo > Incidente de segurança > Mostrar incidentes em aberto.
Selecione qualquer registro de incidente.
Clique com o botão direito do mouse no menu de contexto do incidente.
Ir para Configurar > Lista relacionada.
. Configurar listas relacionadas no formulário Incidente de segurança é exibido.
Vá para Nome da exibição e selecione Novo .
Insira um nome para a exibição.
Selecione a exibição recém-criada.
Depois de selecionar a exibição, escolha os campos de lista relacionada obrigatórios no bucket de slush.
Nota:
Se você quiser modificar algo, selecione a exibição e remova ou adicione os itens.
Clique em Salvar.
Na navegação à esquerda, navegue até Tudo > Estrutura do Now Experience > Experiências.
Selecione Espaço de resposta a incidentes de segurança .
. Espaço de resposta a incidentes de segurança da aplicação UX a página é exibida.
Vá para Propriedades da página de UX e selecione RelatedListLayoutConfig opção na exibição de lista.
Adicione o nome de exibição recém-criado separado por uma vírgula a uma lista de valores já existente em Valor caixa de texto abaixo de sn_si_incident.visualizaçõesUsedForGrouping campo.
Por exemplo, se você criou um novo nome de exibição como, Impacto nos negócios em seguida, em Valor caixa de texto em que você deve especificá-la business_impact (que é separado por sublinhado no nome da exibição e separado por uma vírgula após um valor existente) no campo sn_si_incident:groups.
Nota:
Se você adicionar o novo nome de exibição em sn_si_incident.visualizaçõesUsedForGrouping em seguida, a entrada será criada no Registros relacionados do espaço.
Se você atualizar a entrada do nome da exibição em si_other_records.visualizaçõesUtilizado para Agrupamento em seguida, o grupo de lista relacionada será adicionado em Outros registros do espaço.
Abaixo está um exemplo de exibição que mostra as exibições recém-criadas adicionadas.
Nota:
RequiredRolesForGrouping contém nomes de registro sys_user_role separados por vírgulas. O usuário do Espaço SIR deve ter pelo menos uma dessas funções para usar as listas relacionadas agrupadas. Quando um usuário não tiver nenhuma dessas funções, a exibição de listas relacionadas configurada para a função de usuário atual usando a configuração de regra de exibição será representada verticalmente sem agrupamento. Esta propriedade é ignorada quando Isagrupado a propriedade está definida como falsa. Se esta propriedade estiver vazia, qualquer usuário poderá acessar as listas relacionadas agrupadas.
Clique em Salvar.
Navegar até Espaços > Espaço de resposta a incidentes de segurança.
Selecione qualquer incidente de segurança específico.
Vá para Registros relacionados do espaço.
As listas relacionadas agrupadas são exibidas.
Configurar Lista relacionada de tarefa de resposta
Use esta seção para configurar as novas listas relacionadas de tarefas de resposta que aparecem na aplicação Resposta de incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
A lista relacionada de tarefas de resposta não é agrupada, mas exibida como itens de lista relacionados individuais, pois há algumas listas padrão. Exiba os itens relacionados às tarefas de resposta do Tarefas de resposta do registro de incidente de segurança do espaço.
Procedimento
Navegar até Tudo > Incidente de segurança > Tarefas de resposta > Mostrar todas as tarefas.
Selecione qualquer registro de tarefa de resposta.
Clique com o botão direito do mouse no menu de contexto da tarefa de resposta do incidente de segurança.
Navegar até Configurar > Lista relacionada.
. Configurar listas relacionadas no formulário Tarefa de resposta de segurança é exibido.
Vá para Nome da exibição e selecione sirw exibir.
Selecione os campos de lista relacionada desejados no bucket de slush.
Por exemplo, Locais afetados.
Clique em Salvar.
Navegar até Espaços > Espaço de resposta a incidentes de segurança > Tarefas de resposta > Registros DO SIT.
As listas relacionadas configuradas (por exemplo, Locais afetados conforme selecionado) são listadas na lista de registros DO SIT.
