Explorer le canevas d’enquête

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • L’objectif principal du canevas d’enquête est de présenter les données nécessaires sur les incidents de sécurité en un seul endroit commun.

    Dans le SIR Workspace, l’enquête sur les incidents de sécurité s’articule principalement autour de quelques points d’entrée clés.

    Voici quelques points d’entrée clés qui sont provisionnés pour les analystes de sécurité dans le système de base :
    • Observables associés
    • Éléments de configuration
    • Utilisateurs affectés
    • E-mails associés Phish
    • Recherche d'e-mail

    Vous pouvez également configurer les points d’entrée ci-dessus en ajoutant, en modifiant ou en supprimant les points d’entrée selon le cas. Pour plus d'informations, consultez Configurer l’examen de l’heure de conception du SI.

    Dans l’onglet Examen , la table de points d’entrée fait office de table parente. Toutes les tables contenant les résultats d’une action d’orchestration effectuée sur la table parente sont présentées comme des tables enfants au sein du point d’entrée.

    Par exemple, pour le point d’entrée Observables associés , la table Observables associés est la table parente et d’autres tables telles que Résultats de la recherche de menace, Résultats de soumission du bac à sable, entre autres, sont la table enfants.

    L’analyste de sécurité peut effectuer toutes les actions d’orchestration sur la table Observables associés et peut afficher toutes les informations associées sur la même page, sans avoir besoin de naviguer à plusieurs endroits.

    Remarque :
    Lorsqu’un utilisateur clique sur les graphiques interactifs de la page Vue d’ensemble , tels que les observables malveillants, il est dirigé vers la vue filtrée des observables malveillants dans le canevas d’examen. Alternativement, l’utilisateur peut directement commencer l’enquête en naviguant vers le canevas d’enquête qui contiendra toutes les données.

    La table de liste des enfants sous un point d’entrée est également configurable. Pour plus d'informations, consultez Configurer l’examen de l’heure de conception du SI.

    Voici un exemple détaillé de point d’entrée (observable associé) configuré et approvisionné dans le système de base :
    1. Sélectionnez le point d’entrée Observables associés dans la liste déroulante.

      Ici, la table parente est également un observable associé.

      Figure 1. Configurations de listes de points d'entrée
      Points d'entrée
    2. Sélectionnez un ou plusieurs observables dans la table parente.
    3. Exécuter l’aptitude souhaitée.

      Par exemple, sélectionnez Exécuter la recherche de menace pour extraire les résultats de la recherche de menace pour un observable sélectionné.

      Remarque :
      Lorsqu’une action observable correspondante est exécutée, le processus est exécuté dans le back-end et les résultats sont affichés sous la liste Observables.
    4. Cliquez sur Afficher les informations associées pour afficher les résultats des observables. Les résultats sont affichés sur la même page.
      Remarque :
      Vous pouvez afficher les résultats à l’aide de filtres par résultats, sélectionner Tous les résultats ou Derniers résultats, selon la valeur souhaitée. Par défaut, les derniers résultats sont affichés. S’il existe plusieurs implémentations (d’intégrations), les derniers résultats par implémentation s’affichent.

      En outre, vous pouvez filtrer les résultats par des listes connexes associées qui sont les résultats de la table enfant. Par défaut, toutes les listes connexes des tables enfants configurées sont affichées. Pour plus d'informations, consultez Configurer l’examen de l’heure de conception du SI. Toutefois, vous pouvez choisir de sélectionner uniquement les tables enfants requises.

      Affichez les informations associées.

    5. En cliquant sur Afficher les informations associées , vous pouvez afficher toutes les données de table enfants associées en un seul endroit. Cependant, vous pouvez fermer la vue des listes connexes en sélectionnant le bouton Fermer la vue . Une fois que vous fermez la vue, vous pouvez uniquement voir la table parente des observables, comme précédemment.
    6. Cliquez sur l’icône Développer tout vers le haut dans la table Affichage des résultats des informations associées disponibles pour développer toutes les données de table enfants de listes connexes.

      Agrandir toutes les vues d’options.

    7. Cliquez sur l’icône Réduire tout vers le bas pour réduire toutes les données de table enfants de listes connexes.
      Remarque :
      La bannière en haut de la section d’informations associée, qui contient toutes les données de la table enfant, indique le nombre d’informations observables connexes présentées à l’utilisateur. Par exemple, initialement, si vous sélectionnez deux observables et cliquez sur Afficher les informations associées, la bannière affiche Affichage des informations associées disponibles pour 2 observables associés. Si vous sélectionnez par exemple, un autre observable, la bannière indique que l’information est obsolète (capture d’écran ci-dessous). Vous devrez cliquer à nouveau sur Afficher les informations associées pour obtenir les données les plus récentes.

      Résultats des observables associés obsolètes

      En plus de la vue complète ci-dessus des informations associées aux observables, si vous souhaitez afficher plus d’informations sur un enregistrement sur la table parente, cliquez sur l’observable et le formulaire d’enregistrement de la table parente s’ouvre dans un onglet différent avec une vue plus détaillée de l’enregistrement sélectionné. Toutes les données de table enfants associées de cet enregistrement sélectionné particulier sont également présentées sous la section Informations associées .

      Toutefois, la section d’informations associée affiche uniquement les derniers résultats de la table enfants, tels qu’ils apparaissent dans le canevas d’examen, en mode lecture seule. Aucune action n’est possible dans cette vue. La page de formulaire de la table enfants peut être ouverte dans un nouvel onglet qui affichera la page entièrement fonctionnelle avec toutes les actions, le cas échéant.

      Vous pouvez passer d’une table à l’autre à l’aide de la liste déroulante. Vous pouvez également développer ou réduire chaque formulaire dans la section d’informations associée.

      Dans la page de formulaire Observable (page de formulaire d’enregistrement de table parente), vous pouvez effectuer certaines actions selon les disponibilités. Chaque fois que vous effectuez une action, vous pouvez cliquer sur Actualiser sur la bannière d’informations associée pour actualiser les données.

    8. Cliquez sur Développer tout pour développer la table enfant de toutes les listes connexes. Par défaut, tous les enfants sont développés.
      Figure 2. Vue élargie des observables
      Vue développée du point d’entrée