Espace de travail de la Réponse aux incidents de sécurité permet aux analystes de sécurité de consulter les informations clés associées à l’incident de sécurité pendant le processus de correction de l’incident. Les informations clés comprennent également les listes connexes telles que les observables, les résultats de la recherche de menace, la recherche de perception, l’enrichissement des observables, etc.

Dans l’interface utilisateur classique, la plupart des actions d’orchestration associées aux intégrations prêtes à l’emploi sont disponibles sur les listes connexes. Par exemple, Exécuter une recherche de menace, Exécuter l’enrichissement des observables... sont présents sur la liste connexe Observables associés. De même, Obtenir les détails de l’hôte, Obtenir les statistiques réseau, etc., sont disponibles par rapport à la liste connexe Éléments de configuration.

Lorsqu’un analyste de la sécurité effectue ces actions, les résultats sont renseignés dans une liste connexe différente. Par exemple, lorsqu’un utilisateur exécute Exécuter une recherche de menace, les résultats sont disponibles dans la table Résultats de la recherche de menace. Parfois, les résultats sont disponibles dans plusieurs tables différentes. Au cours de ce processus, les analystes de la sécurité ont une expérience utilisateur décousue et désorganisée dans la co-relation des informations provenant de plusieurs endroits.

Dans la nouvelle SIR Workspaceversion réinventée, le canevas d’enquête (onglet) fournit toutes les informations nécessaires regroupées logiquement en un seul endroit pour que l’analyste puisse effectuer l’enquête.