Management von Sicherheitsfällen bietet Sicherheitsanalysten, die an der Bedrohungssuche beteiligt sind, die Möglichkeit, Informationen über verdächtige Aktivitäten in ihrer Umgebung zu sammeln. Fallbezogene Datensätze, wie z. B. Security Incidents, erkennbare Elemente, CIs und betroffene Benutzer, können Fällen hinzugefügt werden, um eine umfassende und spezifische Analyse zu ermöglichen.

Mit der Möglichkeit, einfach durch die Datensätze und zugehörigen Informationen zu navigieren, können Analysten beurteilen, ob sie einer gezielten Kampagne, einer erweiterten persistenten Bedrohung oder Ähnlichem ausgesetzt sind.

Sicherheitsfälle können aus verschiedenen Quellen in Ihrer Instanz erstellt werden, einschließlich Management von Sicherheitsfällen, Security Incident Responseund Threat Intelligence. Sie können auch Fälle aus Konfigurationselementen und betroffenen Benutzern in den Tabellen Konfigurationselemente [cmdb.ci] und Benutzer [sys.user] erstellen. Nachdem Fälle erstellt wurden, können jede dieser Quellen auch verwendet werden, um vorhandenen Fällen wertvolle Analyseressourcen hinzuzufügen.

Jeder Sicherheitsfall besteht aus drei Hauptabschnitten, einem Headerabschnitt, einem Abschnitt mit zusätzlichen Falldetails und einem Abschnitt mit Fallartefakten, der eine Sammlung von Datensätzen enthält, die beim Aufbau eines Arguments für die Identifizierung und Behandlung bestimmter Bedrohungen helfen.

Fallheader

Der Fall-Header enthält grundlegende Informationen, die zum Identifizieren und Klassifizieren des Sicherheitsfalls verwendet werden. Die Fallnummer verwendet das Präfix SECC.

Zusätzliche Falldetails

Der Abschnitt „Zusätzliche Falldetails“ enthält spezifische Informationen zu der Analyse, die bereits für den Fall durchgeführt wurde, einschließlich des aktuellen Status sowie der für den Fall aufgezeichneten Arbeitsnotizen und Aktivitäten.

Fallartefakte

Der Abschnitt „Fallartefakte“ enthält eine Reihe von Registerkarten mit Informationen, die im Sicherheitsfall enthalten sind.

Sie können im Inhalt jeder Registerkarte Suchen durchführen. Sie können auch bestimmte Datensätze ausschließen, die Sie bereits als sicher eingestuft haben oder die für Ihre Untersuchung keinen Wert haben. Die ausgeschlossenen Datensätze werden nicht gelöscht, sind jedoch ausgeblendet. Bei Bedarf können Sie ausgeschlossene Datensätze anzeigen und wieder hinzufügen.

Auf jeder Registerkarte können Sie auf das Symbol „Zusätzliche Details“ klicken, um zugehörige Informationen für den ausgewählten Datensatz anzuzeigen. Wenn Sie beispielsweise auf die Registerkarte Konfigurationselemente klicken, um den Konfigurationselemente-Explorer anzuzeigen, und für ein bestimmtes CI auf Zusätzliche Details klicken, können Sie Incidents, angreifbare Elemente und Anmerkungen anzeigen, die diesem CI zugeordnet sind.

Sie können auch einen Datensatz auswählen und für ein fallbezogenes Artefakt auf die Schaltfläche Kommentieren klicken, um dem Datensatz Anmerkungen hinzuzufügen. Anmerkungen sind einfach Notizen, die jeder Analyst zu einem bestimmten Artefakt machen kann.

Andere Tools, die der Analyst zur Untersuchung von Fällen verwenden kann, sind:

• Führt eine Sichtungssuche für erkennbare Elemente in einem Fall durch
• Suchen Sie nach Sicherheitsartefakten