Configure tipos de evento personalizados para a linha do tempo

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • O componente Linha do tempo na tela de investigação fornece uma visão geral cronológica de todos os eventos relacionados a uma entidade selecionada. Este recurso permite que os analistas rastreiem ações, atualizações e mudanças ao longo do tempo, oferecendo uma perspectiva histórica abrangente da atividade da entidade. Como resultado, ele oferece suporte à análise eficaz de ameaças temporais.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Como administrador, você pode configurar os tipos de eventos personalizados para alinhar a linha do tempo com as necessidades investigativas organizacionais, garantindo que os eventos relevantes sejam destacados e melhorando a análise de ameaças temporais.

    Os analistas podem adicionar, editar ou remover eventos associados aos registros de inteligência. A linha do tempo também preserva os intervalos de datas específicos do usuário para cada tela, fornecendo uma experiência de análise consistente e detalhada. Para obter mais informações, consulte Adicionando eventos da linha do tempo à tela.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Administração > Controles de Nodemap > Tipo de evento personalizado da linha do tempo.
    2. Selecione Novo.
    3. Preencha os campos, se for o caso.
      CampoDescrição
      Nome do evento Um nome exclusivo que identifica a ocorrência de evento ou atividade específica registrada na linha do tempo.

      Isso serve como um rótulo primário para cada evento, para ajudar você a entender rapidamente o nó criado, o status atualizado ou quaisquer detalhes adicionais.
      Descrição Descrição do tipo de evento para fornecer o contexto do evento.
      Status Indica o status atual de um evento na linha do tempo.
      Ícone Um ícone que aparece na linha do tempo para representar visualmente eventos desse tipo.
      Cor Especifica a cor do ícone que representa o evento na linha do tempo.
    4. Salvar a configuração do evento da linha do tempo personalizada.
      Nota:
      Por padrão, o evento de linha do tempo personalizado é desabilitado até que você habilite manualmente o evento.
    5. Navegue até Configuração do evento da linha do tempo seção para adicionar ou remover os objetos ou observáveis.
      Configuração da linha do tempo
    6. Selecione Adicionar para adicionar ou editar a entidade e a tabela aplicável a um objeto ou observável, o que significa que agora você pode especificar a quais tabelas a linha do tempo se aplica.
    7. Selecione Entidade .
      Você pode optar por adicionar um objeto ou observável. Quando um objeto é selecionado, a aplicação exibe todas as tabelas aplicáveis associadas a ele. Você pode modificar a lista adicionando ou removendo entradas conforme necessário.

      Na seção Configuração do evento da linha do tempo , Tabela incluída o campo indica os tipos de registro específicos aos quais cada evento se aplica. Como administrador, por exemplo, você pode remover uma entidade, como vulnerabilidade da lista, se o evento não for mais aplicável a essa vulnerabilidade. Quando uma entidade do tipo vulnerabilidade é removida, o evento não será mais acionado para essa vulnerabilidade.

      Nota:

      Eventos padrão para observáveis : Determinados eventos são exibidos automaticamente para observáveis específicos. Por exemplo, Observáveis de arquivo incluem o. Visto pela primeira vez e. Visto pela última vez campos.

      A propriedade do sistema sn_sec_tisc.timeline_node_fields provisionado no sistema de base que determina quais campos são exibidos na linha do tempo.

      Por padrão, ele contém os campos first_seen e last_seen. Você pode modificar esta propriedade para adicionar novos campos ou remover os existentes com base em seus requisitos.

      • Quando um arquivo observável é adicionado à Tela, esses eventos são mostrados por padrão.
      • Esses eventos padrão não são orientados pela configuração e aparecem automaticamente com base nos valores preenchidos no registro de observáveis.
      • Se Visto pela primeira vez e. Visto pela última vez E, em seguida, os eventos correspondentes são exibidos na Tela sem qualquer configuração adicional.
    8. Selecione Salvar para confirmar suas mudanças.
      Feito isso, você pode voltar e habilitar seu evento de linha do tempo personalizado. Esta ação confirma que o evento de linha do tempo personalizado é aplicável às tabelas especificadas.
      Nota:

      Após a configuração, cada evento pode ser habilitado ou desabilitado.

      • Os eventos habilitados estão disponíveis para a seleção na tela de investigação e podem ser adicionados aos nós relevantes.
      • Os eventos desabilitados estão ocultos do Evento de linha do tempo e não podem ser adicionados à linha do tempo.

    O que Fazer Depois

    Depois que o evento estiver configurado, você poderá navegar até a Tela de investigação para verificar a entrada da linha do tempo e adicionar ou editar entradas. Para obter mais informações, consulte Adicionando eventos da linha do tempo à tela. Para entender mais sobre como usar o recurso de linha do tempo, consulte Usando a linha do tempo na tela de investigação.