Arbeitsbereich für Security Incident Response Ermöglicht es Sicherheitsanalysten, die Schlüsselinformationen anzuzeigen, die dem Security Incident während des Korrekturprozesses für Incidents zugeordnet sind. Die wichtigsten Informationen umfassen auch die zugehörigen Listen wie erkennbare Elemente, Ergebnisse der Bedrohungssuche, Sichtungssuche, Anreicherung erkennbarer Elemente usw.

In der klassischen Anwenderoberfläche sind die meisten Orchestration-Aktionen, die den sofort einsatzbereiten Integrationen zugeordnet sind, für die zugehörigen Listen verfügbar. Beispielsweise sind Bedrohungssuche ausführen, Anreicherung erkennbarer Elemente ausführen usw. für die zugehörige Liste zugeordneter erkennbarer Elemente vorhanden. Ebenso sind „Hostdetails abrufen“, „Netzwerkstatistiken abrufen“ usw. für die zugehörige Liste „Konfigurationselemente“ verfügbar.

Wenn ein Sicherheitsanalyst diese Aktionen ausführt, werden die Ergebnisse in einer anderen zugehörigen Liste ausgefüllt. Wenn ein Anwender beispielsweise Bedrohungssuche ausführen durchführt, sind die Ergebnisse in der Tabelle „Ergebnisse der Bedrohungssuche“ verfügbar. Manchmal sind Ergebnisse in mehreren verschiedenen Tabellen verfügbar. Während dieses Prozesses verfügen die Sicherheitsanalysten über eine unzusammenhängende und unorganisierte Anwender-Experience, um die Informationen von mehreren Orten miteinander zu verknüpfen.

In neu erstelltem neu SIR-Arbeitsbereich, Untersuchung Canvas (Registerkarte) stellt alle erforderlichen Informationen logisch gruppiert an einem Ort bereit, damit der Analyst die Untersuchung durchführen kann.