Exemple 3 : Ajouter des entrées de détails d’exécution spécifiques à une implémentation : Exécuter des actions supplémentaires

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

2 minutes de lecture

Ajoutez des entrées de détails d’exécution spécifiques à une implémentation, exécutez des actions supplémentaires.

Vous pouvez exécuter des actions supplémentaires liées aux options d’intégration à l’aide de l’onglet Examiner du SIR Workspace.

Dans l’onglet Examiner , accédez à la section Listes de points d’entrée affichée sur le côté gauche de la page.
Sélectionnez le point d’entrée respectif et exécutez l’action d’aptitude d’intégration.
Remarque :
Vous pouvez également accéder à l’onglet Enregistrements connexes dans l’espace de travail pour effectuer l’action des options d’intégration.

Ajouter des entrées spécifiques à une implémentation

Ajoutez des entrées de temps d’exécution spécifiques pour chacune des implémentations sélectionnées, le cas échéant.

Avant de commencer

Rôle requis : sn_si.analyst

Les implémentations disponibles sont répertoriées. Sélectionnez la ou les implémentations. Une fois que vous les avez sélectionnées, seuls les enregistrements pris en charge sont soumis sur chaque implémentation sélectionnée.

Procédure

Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
Ouvrez n’importe quel incident de sécurité.
Accédez à l’onglet Examiner de l’espace de travail.
L’onglet Examiner avec les listes de points d’entrée s’affiche.
Sélectionnez l’élément de configuration dans la liste des points d’entrée.
Par exemple, sélectionnez la liste des points d’entrée de l’élément de configuration . Les enregistrements d’éléments de configuration correspondants s’affichent.
Figure 1. Sélectionner un élément de configuration
Sélectionnez n’importe quel élément de configuration.
Accédez à la liste déroulante des listes connexes qui s’affiche en haut de la page.
Pour l’élément de configuration (CI) d’incident de sécurité, les listes déroulantes contiennent la liste suivante d’actions d’options. Les actions de CI répertoriées collectent les résultats et les stockent en tant que données d’enrichissement sur un incident de sécurité :
- Obtenir un fichier : cette aptitude effectue l’action pour obtenir des fichiers avec une valeur de hachage spécifique ou un nom de fichier.
- Isoler l’hôte : cette fonctionnalité limite les connexions système à d’autres appareils.
- Obtenir les détails de l’hôte : cette aptitude récupère les détails de l’hôte, les détails des utilisateurs connectés et d’autres options d’enrichissement.
- Exécuter des actions supplémentaires : cette aptitude exécute les actions supplémentaires au-delà des actions standard.
- Obtenir les statistiques réseau : cette aptitude récupère les statistiques réseau d’une ressource affectée.
- Obtenir l’exécution du processus : cette aptitude récupère une liste des processus en cours d’exécution sur un élément de configuration (CI) à partir d’un hôte.
- Obtenir les utilisateurs connectés : cette fonctionnalité collecte les données des utilisateurs connectés et les relie à l’incident de sécurité.
Sélectionnez Exécuter des actions supplémentaires pour effectuer une action d’options d’intégration liées aux informations sur les menaces.
La boîte de dialogue modale Exécuter des implémentations supplémentaires s’affiche.
Sélectionnez une ou plusieurs implémentations dans la liste.
Cliquez sur Suivant.
Vous allez maintenant passer à l’étape suivante pour ajouter les détails de la durée d’exécution.
Saisissez un commentaire à associer à l’action.
Cliquez sur Envoyer.

Une fois les enregistrements sélectionnés soumis, un message s’affiche indiquant que la demande d’action supplémentaire est en cours d’exécution. En outre, la progression respective des actions d’implémentation est affichée dans la section Activité .
Affichez les résultats de la section de la liste connexe EDR.