Dieser Abschnitt besteht aus den zugehörigen Listenelementen, die in Abschnitte wie zugeordnete erkennbare Elemente und Konfigurationselemente gruppiert sind.
Die folgenden zugehörigen Listen Gruppen auf, die als Teil des Basissystems verfügbar sind. Sie können diese Gruppen ändern oder Gruppen in der Anwendung und ihren jeweiligen Aktionen erstellen.
Sie können diese Gruppen ändern oder neue Gruppen erstellen. Weitere Informationen finden Sie unter Konfigurieren Sie Die Zugehörige Liste „Security Incident“ Informationen zum Konfigurieren und Gruppieren der zugehörigen Liste für Security Incidents und Antwortaufgaben. Jede zugehörige Liste ist innerhalb von voll funktionsfähig SIR-Arbeitsbereich.
Zugehörige Liste
Gruppiertes Element
Geschäftsauswirkung
Konfigurationselemente
Betroffene Anwender
Zugehörige Configuration Items
Zugehörige Anwender
Betroffene Services
Bedrohungsinformationen
Zugehörige erkennbare Elemente
Bedrohungssuche – Ergebnisse
Phishing
Zugeordnete Phishing-E-Mails
Zugehörige Phishing-Header
Zugehörige Security Incidents
Übergeordneter Security Incident
Untergeordneter Security Incident
Ähnlicher Security Incident
SLA-Datensätze
Aufgaben-SLAs
Quell-Ereignisse/-warnungen
Quellereignisse oder Warnungen sind die zugehörige Liste „SIEM-Integration aktiviert“, z. B. Quell-E-Mail, LogRhythm-Drilldown-Protokolle, LogRhythm-Ereignisse, aggregierte IBM QRadar-Vergehen usw.
Hinweis:
Diese Liste hängt vollständig von der Integration ab, die Sie in Ihrer Instanz haben. Um die relevante zugehörige Liste der SIEM-Integration anzuzeigen, müssen Sie die neueste Version installieren.
Sichtungssuche
Ergebnisse der Sichtungssuche
Details einer Sichtungssuche
Sighting
Ergänzung erkennbarer Elemente
Erkennbare Elemente – Datenanreicherungs-Ergebnisse
Zugeordnete MISP-Ereignisse
MISP-Datenanreicherungs-Ergebnisse
Endpunkterkennung und -Antwort (EDR
Hostdetails
Laufende Prozesse
Laufende Services
Angemeldete Anwender
Netzwerkstatistiken
Datei abrufen
Hosteinträge isolieren
Zusätzliche Aktion für Endpunkt
Details zu Microsoft Defender für Endpunktbezogene Computer
Hinweis:
Im Allgemeinen können Sie neue Datensätze erstellen, vorhandene Datensätze oder neue Datensätze mit der zugehörigen Listengruppe verknüpfen oder deren Verknüpfung aufheben.
Konfigurieren Sie Die Zugehörige Liste „Security Incident“
Sie können neue zugehörige Listen oder neue zugehörige Listengruppen hinzufügen und vorhandene Gruppen oder zugehörige Listen ändern, die in angezeigt werden SIR-Arbeitsbereich.
Vorbereitungen
Die zugehörige Liste Security Incident wird gruppiert und als Gruppenbezogene Listenelemente auf der angezeigt Zugehörige Datensätze Registerkarte im Arbeitsbereich.
Erforderliche Rolle: sn_si.admin
Prozedur
Navigieren Sie in der klassischen UI zu Alle > Security Incident > Offene Incidents anzeigenan.
Wählen Sie einen beliebigen Incident-Datensatz aus.
Klicken Sie mit der rechten Maustaste auf das Kontextmenü für Incidents.
Gehe zu Konfigurieren > Zugehörige Listean.
Die Konfigurieren von zugehörigen Listen im Security Incident-Formular Wird angezeigt.
Wechseln Sie zu Name der Ansicht Und wählen Sie aus Neu .
Geben Sie einen Namen für die Ansicht ein.
Wählen Sie die neu erstellte Ansicht aus.
Nachdem Sie die Ansicht ausgewählt haben, wählen Sie die erforderlichen zugehörigen Listenfelder aus dem Slush-Bucket aus.
Hinweis:
Wenn Sie etwas ändern möchten, wählen Sie die Ansicht aus, und entfernen oder fügen Sie die Elemente hinzu.
Klicken Sie auf Speichern.
Navigieren Sie in der linken Navigation zu Alle > Now-Experience-Framework > Erfahrungenan.
Wählen Sie Aus Security Incident Response-Arbeitsbereich .
Die UX-Anwendungssicherheit – Arbeitsbereich für die Reaktion auf Incidents Seite wird angezeigt.
Wechseln Sie zu UX-Seiteneigenschaften Registerkarte und wählen Sie aus RelatedListLayoutConfig Option in der Listenansicht.
Fügen Sie den neu erstellten Ansichtsnamen, getrennt durch ein Komma, einer bereits vorhandenen Werteliste in hinzu Wert Textfeld unter sn_si_Incident.viewsUsedForGruppierung Feld.
Wenn Sie beispielsweise einen neuen Ansichtsnamen als erstellt haben, Geschäftsauswirkung Dann in Wert Textfeld, das Sie angeben müssen Business_Impact (Wird durch Unterstrich innerhalb des Ansichtsnamens getrennt und durch ein Komma nach einem vorhandenen Wert getrennt) im Feld sn_si_Incident:Groups.
Hinweis:
Wenn Sie den neuen Ansichtsnamen unter hinzufügen sn_si_Incident.viewsUsedForGruppierung Feld, dann wird der Eintrag in erstellt Zugehörige Datensätze Registerkarte des Arbeitsbereichs.
Wenn Sie den Ansichtsnameneintrag in aktualisieren si_Other_Records.ViewsUsedForGruppierung Dann wird die zugehörige Listengruppe in hinzugefügt Andere Datensätze Registerkarte des Arbeitsbereichs.
Nachfolgend finden Sie eine Beispielansicht, die die neu erstellten Ansichten zeigt, die hinzugefügt wurden.
Hinweis:
AnforderungsRolesForGruppierung Enthält kommagetrennte sys_user_role-Datensatznamen. SIR-Arbeitsbereich-Anwender muss mindestens eine dieser Rollen haben, um die gruppierten zugehörigen Listen zu verwenden. Wenn ein Anwender über keine dieser Rollen verfügt, wird die Ansicht „zugehörige Listen“, die für die aktuelle Anwenderrolle konfiguriert ist, mit der Ansichtsregelkonfiguration vertikal ohne Gruppierung dargestellt. Diese Eigenschaft wird ignoriert, wenn Ist gruppiert Eigenschaft ist auf „falsch“ festgelegt. Wenn diese Eigenschaft leer ist, kann jeder Anwender auf die gruppierten zugehörigen Listen zugreifen.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Responsean.
Wählen Sie einen bestimmten Security Incident aus.
Wechseln Sie zu Zugehörige Datensätze Registerkarte des Arbeitsbereichs.
Die gruppierten zugehörigen Listen werden angezeigt.
Konfigurieren Sie Die Zugehörige Liste Für Antwortaufgaben
Verwenden Sie diesen Abschnitt, um neue zugehörige Listen für Antwortaufgaben zu konfigurieren, die in der Anwendung Security Incident Response angezeigt werden.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Die zugehörige Liste „Antwortaufgaben“ ist nicht gruppiert, sondern wird als einzelne zugehörige Listenelemente angezeigt, da es nur wenige Standardlisten gibt. Zeigen Sie die zugehörigen Elemente für Antwortaufgaben in der an Antwortaufgaben Registerkarte des Security Incident-Datensatzes des Arbeitsbereichs.
Prozedur
Navigieren zu Alle > Security Incident > Antwortaufgaben > Alle Aufgaben anzeigenan.
Wählen Sie einen beliebigen Antwortaufgabendatensatz aus.
Klicken Sie mit der rechten Maustaste auf das Kontextmenü der Security Incident Response-Aufgabe.
Navigieren zu Konfigurieren > Zugehörige Listean.
Die Zugehörige Listen im Formular „Sicherheitsantwortaufgabe“ werden konfiguriert Wird angezeigt.
Wechseln Sie zu Name der Ansicht Und wählen Sie aus SIRW Anzeigen.
Wählen Sie die gewünschten zugehörigen Listenfelder aus dem Slush-Bucket aus.
Beispiel: Betroffene Standorte.
Klicken Sie auf Speichern.
Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response > Antwortaufgaben > SIT-Datensätzean.
Die konfigurierten zugehörigen Listen (z. B. betroffene Standorte wie ausgewählt) werden in der Liste der SIT-Datensätze aufgeführt.
