Erkunden Sie das Untersuchungs-Canvas

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Das Hauptziel der Untersuchungs-Canvas besteht darin, die erforderlichen Security Incident-Daten an einem gemeinsamen Ort darzustellen.

    Innerhalb von SIR Workspacekonzentriert sich die Untersuchung von Security Incidents hauptsächlich auf einige wichtige Einstiegspunkte.

    Im Folgenden sind einige wichtige Einstiegspunkte aufgeführt, die für Sicherheitsanalysten im Basissystem bereitgestellt werden:
    • Zugehörige erkennbare Elemente
    • Configuration Items
    • Betroffene Benutzer
    • Zugeordnete Phishing-E-Mails
    • E-Mail-Suche

    Sie können die oben genannten Einstiegspunkte auch konfigurieren, indem Sie die Einstiegspunkte nach Bedarf hinzufügen, ändern oder entfernen. Weitere Informationen finden Sie unter Konfigurieren Sie die SI-Entwurfszeituntersuchung.

    Auf der Registerkarte „ Untersuchung “ fungiert die Einstiegspunkttabelle als übergeordnete Tabelle. Alle Tabellen, die die Ergebnisse einer für die übergeordnete Tabelle ausgeführten Orchestration-Aktion enthalten, werden innerhalb des Einstiegspunkts als untergeordnete Tabelle dargestellt.

    Zum Beispiel ist für den Einstiegspunkt Zugeordneteerkennbare Elemente die Tabelle „Erkennbare Elemente zuordnen“ die übergeordnete Tabelle, und andere Tabellen wie Ergebnisse der Bedrohungssuche, Ergebnisse der Sandbox-Übermittlung usw. sind die untergeordneten Tabellen.

    Der Sicherheitsanalyst kann alle Orchestration-Aktionen in der Tabelle „Zugeordnete erkennbare Elemente“ ausführen und alle zugehörigen Informationen auf derselben Seite anzeigen, ohne zwischen mehreren Stellen navigieren zu müssen.

    Hinweis:
    Wenn ein Benutzer auf der Übersichtsseite auf die interaktiven Diagramme klickt, z. B. auf schädliche erkennbare Elemente, wird der Benutzer zur gefilterten Ansicht der schädlichen erkennbaren Elemente innerhalb der Untersuchungs-Canvas weitergeleitet. Alternativ kann der Benutzer die Untersuchung direkt starten, indem er zur Untersuchungs-Canvas navigiert, die alle Daten enthält.

    Die Liste der untergeordneten Tabellen unter einem Einstiegspunkt ist ebenfalls konfigurierbar. Weitere Informationen finden Sie unter Konfigurieren Sie die SI-Entwurfszeituntersuchung.

    Im Folgenden finden Sie ein detailliertes Beispiel für einen Einstiegspunkt (zugeordnetes erkennbares Element), der im Basissystem konfiguriert und bereitgestellt wird:
    1. Wählen Sie in der Dropdown-Liste den Einstiegspunkt Zugeordnete erkennbare Elemente aus.

      Hier ist die übergeordnete Tabelle auch Zugeordnetes erkennbares Element.

      Abbildung : 1. Einstiegspunkt-Listenkonfigurationen
      Eingabepunkte
    2. Wählen Sie ein oder mehrere erkennbare Elemente aus der übergeordneten Tabelle aus.
    3. Führen Sie die gewünschte Fähigkeit aus.

      Wählen Sie beispielsweise Bedrohungssuche ausführen aus, um die Ergebnisse der Bedrohungssuche für ein ausgewähltes erkennbares Element abzurufen.

      Hinweis:
      Wenn eine entsprechende Aktion für erkennbare Elemente ausgeführt wird, wird der Prozess im Back-End ausgeführt, und die Ergebnisse werden unter der Liste der erkennbaren Elemente angezeigt.
    4. Klicken Sie auf Zugehörige Informationen anzeigen, um die Ergebnisse der erkennbaren Elemente anzuzeigen. Die Ergebnisse werden auf derselben Seite angezeigt.
      Hinweis:
      Sie können die Ergebnisse anzeigen, indem Sie nach Ergebnissen filtern. Wählen Sie entweder Alle Ergebnisse oder Neueste Ergebnisseaus, je nachdem, welche Ansicht die gewünschte ist. Standardmäßig werden die neuesten Ergebnisse angezeigt. Wenn mehrere Implementierungen (von Integrationen) vorhanden sind, werden die neuesten Ergebnisse pro Implementierung angezeigt.

      Darüber hinaus können Sie die Ergebnisse nach zugeordneten zugehörigen Listen filtern, bei denen es sich um die Ergebnisse der untergeordneten Tabelle handelt. Standardmäßig werden alle konfigurierten zugehörigen Listen der untergeordneten Tabelle angezeigt. Weitere Informationen finden Sie unter Konfigurieren Sie die SI-Entwurfszeituntersuchung. Sie können jedoch nur die untergeordneten Tabellen auswählen, die erforderlich sind.

      Zeigen Sie die zugehörigen Informationen an

    5. Durch Klicken auf Zugehörige Informationen anzeigen können Sie alle zugeordneten untergeordneten Tabellendaten an einem Ort anzeigen. Sie können jedoch die Ansicht der zugehörigen Listen schließen, indem Sie auf die Schaltfläche Ansicht schließen klicken. Sobald Sie die Ansicht geschlossen haben, können Sie nur die übergeordnete Tabelle der erkennbaren Elemente wie zuvor anzeigen.
    6. Klicken Sie in der Ergebnistabelle Verfügbare zugeordnete Informationen anzeigen auf das Symbol Alle nach oben erweitern, um alle untergeordneten Tabellendaten der zugehörigen Listen zu erweitern.

      Erweiterte Ansicht der Ergebnisse erkennbarer Elemente

    7. Klicken Sie auf das Symbol Alle nach unten reduzieren, um alle untergeordneten Tabellendaten der zugehörigen Listen zu reduzieren.
      Reduzieren Sie die Ansicht
      Hinweis:
      Das Banner über dem zugeordneten Infoabschnitt, der alle untergeordneten Tabellendaten enthält, zeigt an, wie viele zugehörige Informationen zu erkennbaren Elementen dem Benutzer angezeigt werden. Wenn Sie beispielsweise anfänglich zwei erkennbare Elemente auswählen und auf Zugehörige Informationen anzeigen klicken, wird im Banner Folgendes angezeigt: Verfügbare zugeordnete Informationen für 2 zugeordnete erkennbare Elemente werden angezeigt.. Wenn Sie beispielsweise ein anderes erkennbares Element auswählen, wird im Banner darauf hingewiesen, dass die Informationen veraltet sind (Screenshot unten). Sie müssen erneut auf Zugehörige Informationen anzeigen klicken, um die neuesten Daten zu erhalten.

      Ergebnisse der zugeordneten erkennbaren Elemente veraltet

      Wenn Sie zusätzlich zu der obigen umfassenden Ansicht der den erkennbaren Elemente zugeordneten Informationen weitere Informationen zu einem Datensatz in der übergeordneten Tabelle anzeigen möchten, klicken Sie auf das erkennbare Element. Das Datensatzformular der übergeordneten Tabelle wird auf einer anderen Registerkarte mit einer detaillierteren Ansicht der geöffnet ausgewählten Datensatz. Alle zugeordneten untergeordneten Tabellendaten dieses bestimmten ausgewählten Datensatzes werden auch im Abschnitt Zugeordnete Informationen angezeigt.

      Im zugehörigen Infoabschnitt werden jedoch nur die neuesten Ergebnisse der untergeordneten Tabelle angezeigt, wie im Untersuchungs-Canvas im schreibgeschützten Modus zu sehen ist. In dieser Ansicht sind keine Aktionen möglich. Die Formularseite der untergeordneten Tabelle kann in einer neuen Registerkarte geöffnet werden, die die voll funktionsfähige Seite mit Aktionen (falls vorhanden) darstellt.

      Sie können mithilfe der Dropdown-Liste zwischen den verschiedenen Tabellen wechseln. Sie können auch jedes Formular unter dem zugehörigen Infoabschnitt erweitern oder reduzieren.

      Auf der Formularseite „Erkennbares Element“ (Datensatzformularseite der übergeordneten Tabelle) können Sie bestimmte Aktionen ausführen, sofern verfügbar. Wenn Sie eine Aktion ausführen, können Sie im zugehörigen Infobanner auf Aktualisieren klicken, um die Daten zu aktualisieren.

    8. Klicken Sie auf Alle erweitern, um alle untergeordneten Tabellen der zugehörigen Listen zu erweitern. Standardmäßig werden alle untergeordneten Elemente erweitert.
      Abbildung : 2. Erweiterte Ansicht der erkennbaren Elemente
      Erweiterte Ansicht des Einstiegspunkts