Arbeitsbereich für Security Incident Response ermöglicht es Sicherheitsanalysten, die wichtigsten Informationen anzuzeigen, die dem Security Incident während des Incident-Korrekturprozesses zugeordnet sind. Die wichtigsten Informationen umfassen auch die zugehörigen Listen wie „Erkennbare Elemente“, „Ergebnisse der Bedrohungssuche“, „Sichtungssuche“, „Anreicherung erkennbarer Elemente“ usw.

In der klassischen Benutzeroberfläche sind die meisten Orchestration-Aktionen, die mit den vordefinierten Integrationen verknüpft sind, für die zugehörigen Listen verfügbar. Zum Beispiel sind „Bedrohungssuche ausführen“, „Anreicherung erkennbarer Elemente ausführen“ usw. in der zugehörigen Liste „Zugeordnete erkennbare Elemente“ vorhanden. Ebenso sind „Hostdetails abrufen“, „Netzwerkstatistiken abrufen“ usw. für die zugehörige Liste „Konfigurationselemente“ verfügbar.

Wenn ein Sicherheitsanalyst diese Aktionen ausführt, werden die Ergebnisse in eine andere zugehörige Liste eingetragen. Wenn ein Benutzer beispielsweise eine Bedrohungssuche ausführt, sind die Ergebnisse in der Tabelle „Ergebnisse der Bedrohungssuche“ verfügbar. Manchmal sind Ergebnisse in mehreren verschiedenen Tabellen verfügbar. Während dieses Prozesses haben die Sicherheitsanalysten eine unzusammenhängende und unorganisierte Benutzer-Experience, wenn sie die Informationen von mehreren Stellen in Beziehung setzen.

Im überarbeiteten neuen SIR Workspacebietet die Untersuchungs -Canvas (Registerkarte) alle erforderlichen Informationen, die logisch an einem Ort gruppiert sind, damit der Analyst die Untersuchung durchführen kann.