Beispiel 3: Hinzufügen spezifischer Laufzeitdetaileingaben zu einer Implementierung: Zusätzliche Aktionen ausführen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Fügen Sie einer Implementierung spezifische Laufzeitdetaileingaben hinzu, und führen Sie zusätzliche Aktionen aus.

    Sie können auf der Registerkarte Ermittlung von SIR Workspacedie Aktion „Zusätzliche Aktionen ausführen“ für Integrationsfähigkeiten ausführen.

    1. Navigieren Sie auf der Registerkarte Ermittlung zum Abschnitt Einstiegspunktlisten, der auf der linken Seite angezeigt wird.
    2. Wählen Sie den entsprechenden Einstiegspunkt aus, und führen Sie die Aktion für die Integrationsfähigkeit aus.
      Hinweis:
      Sie können auch im Arbeitsbereich zur Registerkarte Zugehörige Datensätze navigieren, um die Aktion „Integrationsfunktionen“ auszuführen.

    Fügen Sie einer Implementierung bestimmte Eingaben hinzu

    Fügen Sie nach Bedarf spezifische Laufzeiteingaben für jede der ausgewählten Implementierungen hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Die verfügbaren Implementierungen werden aufgelistet. Wählen Sie die Implementierung(en) aus. Nachdem Sie sie ausgewählt haben, werden nur die unterstützten Datensätze für die ausgewählten Implementierungen übermittelt.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response.
    2. Öffnen Sie einen beliebigen Security Incident.
    3. Wechseln Sie zur Registerkarte Ermittlung des Arbeitsbereichs.
      Die Registerkarte Ermittlung mit den Einstiegspunktlisten wird angezeigt.
      Registerkarte Ermittlung.
    4. Wählen Sie das Configuration Item aus der Liste der Einstiegspunkte aus.
      Wählen Sie beispielsweise die Liste der Konfigurationselement -Einstiegspunkte aus. Die entsprechenden Datensätze für Configuration Items werden angezeigt.
      Abbildung : 1. Wählen Sie Configuration Item aus
      Wählen Sie Configuration Item aus.
    5. Wählen Sie ein beliebiges Configuration Itemaus.
    6. Navigieren Sie zu den zugehörigen Listen, die oben auf der Seite angezeigt werden.
      Für Security Incident Configuration Item (CI) enthalten die Dropdown-Listen die folgende Liste von Fähigkeitsaktionen. Die aufgeführten CI-Aktionen erfassen die Ergebnisse und speichern sie als Ergänzungsdaten zu einem Security Incident:
      • Datei abrufen: Diese Fähigkeit führt die Aktion aus, um Dateien mit einem bestimmten Hash-Wert oder einem Dateinamen abzurufen.
      • Host isolieren: Diese Fähigkeit schränkt Systemverbindungen mit anderen Geräten ein.
      • Hostdetails abrufen: Diese Fähigkeit ruft die Hostdetails, Details angemeldeter Benutzer und andere Ergänzungsfunktionen ab.
      • Zusätzliche Aktionen ausführen: Diese Fähigkeit führt zusätzliche Aktionen aus, die über die Standardaktionen hinausgehen.
      • Netzwerkstatistiken abrufen: Diese Fähigkeit ruft die Netzwerkstatistiken für eine betroffene Ressource ab.
      • Laufenden Prozess abrufen: Diese Fähigkeit ruft eine Liste der laufenden Prozesse für ein Configuration Item (CI) von einem Host ab.
      • Angemeldete Anwender abrufen: Diese Funktion sammelt die Daten angemeldeter Anwender und bezieht sie auf den Security Incident.
    7. Wählen Sie „Zusätzliche Aktionen ausführen“ aus, um die Aktion für Integrationsfähigkeiten im Zusammenhang mit Bedrohungsinformationen auszuführen.
      Das modale Dialogfeld Zusätzliche Implementierungen ausführen wird angezeigt.
    8. Wählen Sie eine oder mehrere Implementierungen aus der Liste aus.
      Zusätzliche Aktionen ausführen
    9. Klicken Sie auf Next (Weiter).
      Sie werden jetzt zum nächsten Schritt weitergeleitet, um die Laufzeitdetails hinzuzufügen.
    10. Geben Sie einen Kommentar ein, der der Aktion zugeordnet werden soll.
    11. Klicken Sie auf Absenden.
      Übermittelte Datensätze und Arbeitsnotizen zum Aktivitätenstrom.
      Nachdem die ausgewählten Datensätze übermittelt wurden, wird eine Meldung angezeigt, dass die Anforderung „Zusätzliche Aktion“ ausgeführt wird. Außerdem wird im Abschnitt „Aktivität“ der jeweilige Fortschritt der Implementierungsaktion angezeigt.
    12. Zeigen Sie die Ergebnisse aus dem Abschnitt mit der zugehörigen Liste für EDR an.