Exemple 3 : Ajouter des entrées de détails d’exécution spécifiques à une implémentation : Exécuter des actions supplémentaires

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Ajoutez des entrées de détails d’exécution spécifiques à une implémentation, exécutez des actions supplémentaires.

    Vous pouvez effectuer l’action d’options d’intégration connexes Exécuter des actions supplémentaires à l’aide de l’onglet Examiner du SIR Workspace.

    1. Dans l’onglet Examen , accédez à la section Listes de points d’entrée affichée sur le côté gauche de la page.
    2. Sélectionnez le point d’entrée respectif et exécutez l’action d’aptitude d’intégration.
      Remarque :
      Vous pouvez également accéder à l’onglet Enregistrements connexes de l’espace de travail pour effectuer l’action d’options d’intégration.

    Ajouter des entrées spécifiques à une implémentation

    Ajoutez des entrées de temps d’exécution spécifiques pour chacune des implémentations sélectionnées, le cas échéant.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Les implémentations disponibles sont répertoriées. Sélectionnez la ou les implémentations. Après les avoir sélectionnées, seuls les enregistrements pris en charge sont soumis pour chaque implémentation sélectionnée.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Ouvrez n’importe quel incident de sécurité.
    3. Accédez à l’onglet Examiner de l’espace de travail.
      L’onglet Examiner avec les listes de points d’entrée s’affiche.
      Onglet Examiner.
    4. Sélectionnez l’élément de configuration dans la liste de points d’entrée.
      Par exemple, sélectionnez la liste de points d’entrée Élément de configuration . Les enregistrements d’éléments de configuration correspondants s’affichent.
      Figure 1. Sélectionner un élément de configuration
      Sélectionnez un élément de configuration.
    5. Sélectionnez n’importe quel élément de configuration.
    6. Accédez à la liste déroulante des listes connexes qui s’affiche en haut de la page.
      Pour l’élément de configuration (CI) d’incident de sécurité, la liste déroulante contient la liste suivante d’actions d’options. Les actions de CI répertoriées collectent les résultats et les stockent en tant que données d’enrichissement sur un incident de sécurité :
      • Obtenir un fichier : cette aptitude effectue l’action pour obtenir les fichiers avec une valeur de hachage spécifique ou un nom de fichier.
      • Isoler l’hôte : cette fonctionnalité limite les connexions du système à d’autres périphériques.
      • Obtenir les détails de l’hôte : cette fonctionnalité récupère les détails de l’hôte, les détails des utilisateurs connectés et d’autres options d’enrichissement.
      • Exécuter des actions supplémentaires : cette aptitude exécute les actions supplémentaires au-delà des actions standard.
      • Obtenir les statistiques réseau : cette fonctionnalité récupère les statistiques réseau d’une ressource affectée.
      • Obtenir l’exécution du processus : cette aptitude récupère une liste des processus en cours sur un élément de configuration (CI) à partir d’un hôte.
      • Obtenir les utilisateurs connectés : cette fonctionnalité collecte les données des utilisateurs connectés et les associe à l’incident de sécurité.
    7. Sélectionnez Exécuter des actions supplémentaires pour effectuer l’action des options d’intégration liées aux informations sur les menaces.
      La boîte de dialogue modale Exécuter des implémentations supplémentaires s’affiche.
    8. Sélectionnez une ou plusieurs implémentations dans la liste.
      Exécuter des actions supplémentaires
    9. Cliquez sur Suivant.
      Vous allez maintenant passer à l’étape suivante pour ajouter les détails de temps d’exécution.
    10. Saisissez un commentaire à associer à l’action.
    11. Cliquez sur Envoyer.
      Enregistrements et notes de travail du flux d’activité soumis.
      Une fois les enregistrements sélectionnés soumis, un message s’affiche indiquant que la demande d’action supplémentaire est en cours d’exécution. De plus, la progression des actions d’implémentation respectives est affichée dans la section Activité .
    12. Affichez les résultats de la section de la liste connexe EDR.