Management von Sicherheitsfällen Bietet Sicherheitsanalysten, die an der Bedrohungssuche beteiligt sind, eine Möglichkeit, Informationen zu verdächtigen Aktivitäten in ihrer Umgebung zu sammeln. Fallbezogene Datensätze wie Security Incidents, erkennbare Elemente, CIs und betroffene Anwender können Fällen hinzugefügt werden, um umfassende und spezifische Analysen zu ermöglichen.

Mit der Möglichkeit, die Datensätze und zugehörigen Informationen einfach durchlaufen zu können, können Analysten bewerten, ob sie mit einer gezielten Kampagne, einer erweiterten persistenten Bedrohung usw. konfrontiert sind.

Sicherheitsfälle können aus verschiedenen Quellen in Ihrer Instanz erstellt werden, einschließlich Management von Sicherheitsfällen, Security Incident Response, Und Threat Intelligence. Sie können Fälle auch aus Konfigurationselementen und betroffenen Anwendern in den Tabellen Konfigurationselemente [cmdb.ci] und Anwender [sys.user] erstellen. Nachdem Fälle erstellt wurden, kann jede dieser Quellen auch verwendet werden, um vorhandenen Fällen wertvolle Analyseressourcen hinzuzufügen.

Jeder Sicherheitsfall besteht aus drei Hauptabschnitten, einem Header-Abschnitt, einem Abschnitt mit zusätzlichen Falldetails und einem Fallartefaktabschnitt, der eine Sammlung von Datensätzen enthält, die beim Erstellen eines Arguments für die Identifizierung und den Umgang mit bestimmten Bedrohungen helfen.

Fall-Header

Der Fallheader enthält grundlegende Informationen, die zum Identifizieren und Klassifizieren des Sicherheitsfalls verwendet werden. Die Fallnummer verwendet das SECC-Präfix.

Zusätzliche Falldetails

Die Zusätzliche Falldetails Abschnitt enthält spezifische Informationen für die Analyse, die bereits für den Fall durchgeführt wurde, einschließlich des aktuellen Status und der für den Fall aufgezeichneten Arbeitsnotizen und Aktivitäten.

Fallartefakte

Die Fallartefakte Abschnitt enthält eine Reihe von Registerkarten mit Informationen, die im Sicherheitsfall enthalten sind.

Sie können Suchen innerhalb des Inhalts jeder Registerkarte durchführen. Sie können auch bestimmte Datensätze ausschließen, die Sie bereits als sicher bewertet haben oder die in Ihrer Untersuchung keinen Wert haben. Die ausgeschlossenen Datensätze werden nicht gelöscht, aber in der Ansicht ausgeblendet. Bei Bedarf können Sie ausgeschlossene Datensätze anzeigen und wieder hinzufügen.

Auf jeder Registerkarte können Sie auf das Symbol „zusätzliche Details“ klicken, um zugehörige Informationen für den ausgewählten Datensatz anzuzeigen. Wenn Sie beispielsweise auf klicken Konfigurationselemente Registerkarte, um den Konfigurationselemente-Explorer anzuzeigen, und klicken Sie auf zusätzliche Details für ein bestimmtes CI. Sie können Incidents, angreifbare Elemente und Anmerkungen anzeigen, die diesem CI zugeordnet sind.

Sie können auch einen Datensatz auswählen und auf klicken Anmerkungen Hinzufügen Schaltfläche für ein fallbezogenes Artefakt, um dem Datensatz Anmerkungen hinzuzufügen. Anmerkungen sind einfach Notizen, die jeder Analyst zu einem bestimmten Artefakt machen kann.

Andere Tools, die der Analyst für die Untersuchung von Fällen verwenden kann, sind:

• Führen Sie eine Sichtungssuche für erkennbare Elemente in einem Fall aus
• Suchen Sie nach Sicherheitsartefakten