Explorer le canevas d’enquête

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • L’objectif principal du canevas d’enquête est de présenter les données nécessaires sur les incidents de sécurité dans un emplacement commun.

    Dans le SIR Workspace, l’enquête sur les incidents de sécurité s’articule principalement autour de quelques points d’entrée clés.

    Voici quelques points d’entrée clés qui sont provisionnés pour les analystes de sécurité dans le système de base :
    • Observables associés
    • Éléments de configuration
    • Utilisateurs affectés
    • E-mails associés Phish
    • Recherche d'e-mail

    Vous pouvez également configurer les points d’entrée ci-dessus en ajoutant, en modifiant ou en supprimant les points d’entrée le cas échéant. Pour plus d'informations, consultez Configurer l’examen au moment de la conception SI.

    Dans l’onglet Examen , la table de points d’entrée fait office de table parente. Toutes les tables qui contiennent les résultats d’une action d’orchestration effectuée sur la table parente sont présentées en tant que table enfant dans le point d’entrée.

    Par exemple, pour le point d’entrée Observables associés , la table Observables associés est la table parente, et d’autres tables telles que Résultats de la recherche de menace, Résultats de soumission du bac à sable, etc. sont la table enfant.

    L’analyste de sécurité peut effectuer toutes les actions d’orchestration sur la table Observables associés et visualiser toutes les informations associées au sein d’une même page, sans avoir besoin de naviguer entre plusieurs endroits.

    Remarque :
    Lorsqu’un utilisateur clique sur les graphiques interactifs de la page Vue d’ensemble , tels que les observables malveillants, il est dirigé vers la vue filtrée des observables malveillants dans le canevas d’examen. Alternativement, l’utilisateur peut directement commencer l’enquête en accédant au canevas d’enquête qui contiendra toutes les données.

    La liste des tables enfants sous un point d’entrée est également configurable. Pour plus d'informations, consultez Configurer l’examen au moment de la conception SI.

    Voici un exemple détaillé de point d’entrée (observable associé) configuré et mis en service dans le système de base :
    1. Sélectionnez le point d’entrée Observables associés dans la liste déroulante.

      Ici, la table parente est également Observable associé.

      Figure 1. Configurations de listes de points d'entrée
      Points d'entrée
    2. Sélectionnez un ou plusieurs observables dans la table parente.
    3. Exécutez l’aptitude souhaitée.

      Par exemple, sélectionnez Exécuter une recherche de menace pour récupérer les résultats de la recherche de menace pour un observable sélectionné.

      Remarque :
      Lorsqu’une action observable correspondante est exécutée, le processus est exécuté dans le back-end et les résultats sont affichés sous la liste Observables.
    4. Cliquez sur Afficher les informations associées pour afficher les résultats des observables. Les résultats sont affichés sur la même page.
      Remarque :
      Vous pouvez afficher les résultats à l’aide de filtres par résultats, sélectionner Tous les résultats ou Derniers résultats, selon la vue souhaitée. Par défaut, les derniers résultats sont affichés. S’il existe plusieurs implémentations (d’intégrations), les derniers résultats par implémentation s’affichent.

      En outre, vous pouvez filtrer les résultats par listes connexes associées qui sont les résultats de la table enfant. Par défaut, toutes les listes connexes des tables enfants configurées sont affichées. Pour plus d'informations, consultez Configurer l’examen au moment de la conception SI. Toutefois, vous pouvez choisir de sélectionner uniquement les tables enfants requises.

      Afficher les informations associées

    5. En cliquant sur Afficher les informations associées , vous pouvez afficher toutes les données de table enfants associées au même endroit. Cependant, vous pouvez fermer la vue des listes connexes en sélectionnant le bouton Fermer la vue . Une fois que vous fermez la vue, vous ne pouvez voir que la table parente des observables, comme précédemment.
    6. Cliquez sur l’icône Développer tout vers le haut dans la table Affichage des résultats des informations associées disponibles pour développer toutes les données de table enfants de listes connexes.

      Vue élargie des résultats des observables

    7. Cliquez sur l’icône Réduire tout vers le bas pour réduire toutes les données de table enfants de listes connexes.
      Réduire la vue
      Remarque :
      La bannière au-dessus de la section d’informations associées, qui contient toutes les données des tables enfants, indique le nombre d’informations connexes observables présentées à l’utilisateur. Par exemple, initialement, si vous sélectionnez deux observables et cliquez sur Afficher les informations associées, la bannière affiche Affichage des informations associées disponibles pour 2 observables associés. Si vous sélectionnez par exemple un autre observable, la bannière indique que les informations sont obsolètes (capture d’écran ci-dessous). Vous devrez cliquer à nouveau sur Afficher les informations associées pour obtenir les données les plus récentes.

      Résultats des observables associés obsolètes

      En plus de la vue complète ci-dessus des informations associées aux observables, si vous souhaitez afficher plus d’informations sur un enregistrement sur la table parente, cliquez sur l’observable. Le formulaire d’enregistrement de table parente s’ouvre dans un onglet différent avec une vue plus détaillée de l’enregistrement sélectionné. Toutes les données de table enfants associées de cet enregistrement sélectionné particulier sont également présentées sous la section Informations associées .

      Toutefois, la section d’informations associées affiche uniquement les derniers résultats de la table enfant, comme indiqué dans le canevas d’examen, en mode lecture seule. Aucune action n’est possible dans cette vue. La page de formulaire de la table enfant peut être ouverte dans un nouvel onglet qui affichera la page entièrement fonctionnelle avec toutes les actions, le cas échéant.

      Vous pouvez passer d’une table à l’autre à l’aide de la liste déroulante. Vous pouvez également développer ou réduire chaque formulaire sous la section d’informations associée.

      Dans la page de formulaire Observable (page de formulaire d’enregistrement de table parente), vous pouvez effectuer certaines actions selon les disponibilités. Chaque fois que vous effectuez une action, vous pouvez cliquer sur Actualiser sur la bannière d’informations associée pour actualiser les données.

    8. Cliquez sur Développer tout pour développer la table enfant de toutes les listes connexes. Par défaut, tous les enfants sont développés.
      Figure 2. Vue développée des observables
      Vue développée du point d’entrée