Gestão de casos de segurança fornece um meio para os analistas de segurança que estão envolvidos na caça de ameaças coletarem informações sobre atividades suspeitas em seu ambiente. Registros relacionados a casos, como incidentes de segurança, observáveis, ICs e usuários afetados, podem ser adicionados a casos para acomodar análises amplas e específicas.

Com a capacidade de alternar facilmente os registros e as informações relacionadas, os analistas podem avaliar se estão enfrentando uma campanha direcionada, uma ameaça persistente avançada e assim por diante.

Os casos de segurança podem ser criados de várias origens em sua instância, incluindo Gestão de casos de segurança, Resposta a incidentes de segurançae Inteligência contra ameaças. Você também pode criar casos a partir de itens de configuração e usuários afetados nas tabelas Itens de configuração [cmdb.ci] e Usuários [sys.user], respectivamente. Depois que os casos foram criados, cada uma dessas origens também pode ser usada para adicionar recursos de análise valiosos aos casos existentes.

Cada caso de segurança consiste em três seções principais, uma seção de cabeçalho, uma seção com detalhes adicionais do caso e uma seção de artefatos de caso que contém uma coleção de registros que ajudam a criar um argumento para identificar e lidar com ameaças específicas.

Cabeçalho do caso

O cabeçalho do caso fornece informações básicas usadas para identificar e classificar o caso de segurança. O número do caso usa o prefixo SECC.

Detalhes adicionais do caso

A seção Detalhes adicionais do caso fornece informações específicas para a análise que já foi realizada no caso, incluindo seu estado atual e anotações de trabalho e atividades registradas para o caso.

Artefatos de caso

A seção Artefatos de caso fornece uma série de guias de informações contidas no caso de segurança.

Você pode realizar pesquisas no conteúdo de cada guia. Você também pode excluir registros específicos que já avaliou como seguros ou que não têm valor em sua investigação. Os registros excluídos não são excluídos, mas ficam ocultos. Se necessário, você pode exibir os registros excluídos e adicioná-los novamente.

Em cada guia, você pode clicar no ícone Detalhes adicionais para mostrar informações relacionadas ao registro selecionado. Por exemplo, se você clicar na guia Itens de configuração para exibir o Explorador de itens de configuração e clicar em Detalhes adicionais para um IC específico, poderá exibir incidentes, itens vulneráveis e anotações associadas a esse IC.

Você também pode selecionar um registro e clicar no botão Anotar de um artefato relacionado ao caso para adicionar anotações ao registro. Anotações são simplesmente anotações que cada analista pode fazer em um artefato específico.

Outras ferramentas que o analista pode usar para examinar casos incluem:

• Executar uma pesquisa de detecções em observáveis em um caso
• Pesquisar artefatos de segurança