Dieser Abschnitt besteht aus den zugehörigen Listenelementen, die in Abschnitte wie zugeordnete erkennbare Elemente und Konfigurationselemente gruppiert sind.
Die folgenden zugehörigen Listen Gruppen auf, die als Teil des Basissystems verfügbar sind. Sie können diese Gruppen ändern oder Gruppen in der Anwendung und ihren jeweiligen Aktionen erstellen.
Sie können diese Gruppen ändern oder neue Gruppen erstellen. Weitere Informationen finden Sie unter Konfigurieren Sie Die Zugehörige Liste Für Security IncidentsDarüber, wie die zugehörige Liste für Security Incidents und Antwortaufgaben konfiguriert und gruppiert wird. Jede zugehörige Liste funktioniert innerhalb von vollständig SIR Workspace.
Zugehörige Liste
Gruppiertes Element
Geschäftsauswirkung
Konfigurationselemente
Betroffene Anwender
Zugehörige Configuration Items
Zugehörige Anwender
Betroffene Services
Bedrohungsinformationen
Zugehörige erkennbare Elemente
Bedrohungssuche – Ergebnisse
Phishing
Zugeordnete Phishing-E-Mails
Zugehörige Phishing-Header
Zugehörige Security Incidents
Übergeordneter Security Incident
Untergeordneter Security Incident
Ähnlicher Security Incident
SLA-Datensätze
Aufgaben-SLAs
Quell-Ereignisse/-warnungen
Quellereignisse oder Warnungen sind die zugehörige Liste „SIEM-Integration aktiviert“, z. B. Quell-E-Mail, LogRhythm-Drilldown-Protokolle, LogRhythm-Ereignisse, aggregierte IBM QRadar-Vergehen usw.
Hinweis:
Diese Liste hängt vollständig von der Integration ab, die Sie in Ihrer Instanz haben. Um die zugehörige Liste der SIEM-Integration anzuzeigen, müssen Sie die neueste Version installieren.
Sichtungssuche
Ergebnisse der Sichtungssuche
Details einer Sichtungssuche
Sichtung
Ergänzung erkennbarer Elemente
Erkennbare Elemente – Datenanreicherungs-Ergebnisse
Zugeordnete MISP-Ereignisse
MISP-Datenanreicherungs-Ergebnisse
Endpunkterkennung und -Antwort (EDR
Hostdetails
Laufende Prozesse
Laufende Services
Angemeldete Anwender
Netzwerkstatistiken
Datei abrufen
Hosteinträge isolieren
Zusätzliche Aktion für Endpunkt
Microsoft Defender für Endpunktbezogene Computerdetails
Hinweis:
Im Allgemeinen können Sie neue Datensätze erstellen, vorhandene Datensätze oder neue Datensätze mit der zugehörigen Listengruppe verknüpfen oder deren Verknüpfung aufheben.
Konfigurieren Sie Die Zugehörige Liste Für Security Incidents
Sie können neue zugehörige Listen oder neue zugehörige Listengruppen hinzufügen und vorhandene Gruppen oder zugehörige Listen ändern, die in angezeigt werden SIR Workspace.
Vorbereitungen
Die zugehörige Liste „Security Incident“ wird gruppiert und als gruppenbezogene Listenelemente auf angezeigt Zugehörige Datensätze Registerkarte im Arbeitsbereich.
Erforderliche Rolle: sn_si.admin
Prozedur
Navigieren Sie in der klassischen UI zu Alle > Security Incident > Offene Incidents anzeigenan.
Wählen Sie einen beliebigen Incident-Datensatz aus.
Klicken Sie mit der rechten Maustaste auf das Incident-Kontextmenü.
Gehe zu Konfigurieren > Zugehörige Listean.
Die Zugehörige Listen im Formular „Security Incident“ werden konfiguriert Wird angezeigt.
Wechseln Sie zu Ansichtsname Und wählen Sie aus Neu .
Geben Sie einen Namen für die Ansicht ein.
Wählen Sie die neu erstellte Ansicht aus.
Nachdem Sie die Ansicht ausgewählt haben, wählen Sie die erforderlichen zugehörigen Listenfelder aus dem Slush-Bucket aus.
Hinweis:
Wenn Sie etwas ändern möchten, wählen Sie die Ansicht aus, und entfernen oder fügen Sie die Elemente hinzu.
Klicken Sie auf Speichern.
Navigieren Sie in der linken Navigation zu Alle > Now Experience Framework > Erfahrungenan.
Wählen Sie Aus Arbeitsbereich Für Die Reaktion Auf Security Incidents .
Die Arbeitsbereich für die Reaktion auf UX-Anwendungssicherheits-Incidents Seite wird angezeigt.
Wechseln Sie zu UX-Seiteneigenschaften Registerkarte und wählen Sie aus RelatedListLayoutConfig Option in der Listenansicht.
Fügen Sie den neu erstellten Ansichtsnamen, getrennt durch ein Komma, einer bereits vorhandenen Werteliste in hinzu Wert Textfeld unter sn_si_Incident.viewsUsedForGruppierung Feld.
Wenn Sie beispielsweise einen neuen Ansichtsnamen als erstellt haben, Geschäftsauswirkung Dann in Wert Textfeld müssen Sie als angeben Business_Impact (Wird durch Unterstrich innerhalb des Ansichtsnamens getrennt und durch ein Komma nach einem vorhandenen Wert getrennt) im Feld „sn_si_Incident:Groups“.
Hinweis:
Wenn Sie den neuen Ansichtsnamen unter hinzufügen sn_si_Incident.viewsUsedForGruppierung Dann wird der Eintrag in erstellt Zugehörige Datensätze Registerkarte des Arbeitsbereichs.
Wenn Sie den Ansichtsnameneintrag in aktualisieren si_other_Records.viewsUsedForGruppierung Dann wird die zugehörige Listengruppe in hinzugefügt Andere Datensätze Registerkarte des Arbeitsbereichs.
Unten finden Sie eine Beispielansicht, die die neu erstellten Ansichten anzeigt, die hinzugefügt wurden.
Hinweis:
AnforderungsRolesForGruppierung Enthält kommagetrennte sys_user_role-Datensatznamen. SIR-Arbeitsbereich-Anwender muss mindestens eine dieser Rollen haben, um die gruppierten zugehörigen Listen zu verwenden. Wenn ein Anwender über keine dieser Rollen verfügt, wird die Ansicht „zugehörige Listen“, die für die aktuelle Anwenderrolle mithilfe der Ansichtsregelkonfiguration konfiguriert ist, vertikal ohne Gruppierung dargestellt. Diese Eigenschaft wird ignoriert, wenn Ist Gruppiert Eigenschaft ist auf „falsch“ festgelegt. Wenn diese Eigenschaft leer ist, kann jeder Anwender auf die gruppierten zugehörigen Listen zugreifen.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Responsean.
Wählen Sie einen bestimmten Security Incident aus.
Wechseln Sie zu Zugehörige Datensätze Registerkarte des Arbeitsbereichs.
Die gruppierten zugehörigen Listen werden angezeigt.
Konfigurieren Sie Die Zugehörige Liste Der Antwortaufgabe
Verwenden Sie diesen Abschnitt, um Antwortaufgaben mit neuen zugehörigen Listen zu konfigurieren, die in der Anwendung „Reaktion auf Security Incidents“ angezeigt werden.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Die zugehörige Liste „Antwortaufgaben“ ist nicht gruppiert, sondern wird als einzelne zugehörige Listenelemente angezeigt, da es nur wenige Standardlisten gibt. Zeigen Sie die zugehörigen Elemente für Antwortaufgaben in an Antwortaufgaben Registerkarte des Security Incident-Datensatzes des Arbeitsbereichs.
Prozedur
Navigieren zu Alle > Security Incident > Antwortaufgaben > Alle Aufgaben anzeigenan.
Wählen Sie einen beliebigen Antwortaufgabendatensatz aus.
Klicken Sie mit der rechten Maustaste auf das Kontextmenü der Aufgabe zur Reaktion auf Security Incidents.
Navigieren zu Konfigurieren > Zugehörige Listean.
Die Konfigurieren zugehöriger Listen im Formular „Sicherheitsantwortaufgabe“ Wird angezeigt.
Wechseln Sie zu Ansichtsname Und wählen Sie aus SIRW Ansicht.
Wählen Sie die gewünschten zugehörigen Listenfelder aus dem Slush-Bucket aus.
Beispiel: Betroffene Standorte.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response > Antwortaufgaben > SIT-Datensätzean.
Die konfigurierten zugehörigen Listen (z. B. betroffene Standorte wie ausgewählt) werden in der Liste der SIT-Datensätze aufgeführt.
