Exemplo 3: adicionar entradas de detalhes de tempo de execução específicas a uma implementação: Executar ações adicionais

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Adicione entradas de detalhes de tempo de execução específicas a uma implementação, Executar ações adicionais.

    Você pode executar a ação Executar ações adicionais relacionadas às capacidades de integração usando a guia Investigação do SIR Workspace.

    1. Na guia Investigação, navegue até a seção Listas de pontos de entrada exibida no lado esquerdo da página.
    2. Selecione o respectivo ponto de entrada e execute a ação de recurso de integração.
      Nota:
      Você também pode navegar até a guia Registros relacionados no espaço de trabalho para executar a ação de recursos de integrações.

    Adicionar entradas específicas a uma implementação

    Adicione entradas de tempo de execução específicas para cada implementação selecionada, conforme aplicável.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    As implementações disponíveis são listadas. Selecione as implementações. Depois de selecioná-las, somente os registros compatíveis serão enviados em relação a cada implementação selecionada.

    Procedimento

    1. Navegar até Espaços > Espaço de resposta a incidentes de segurança.
    2. Abra qualquer incidente de segurança.
    3. Vá para a guia Investigação do espaço.
      A guia de investigação com as listas de pontos de entrada é exibida.
      guia de investigação do espaço
    4. Selecione o item de configuração na lista de ponto de entrada.
      Por exemplo, selecione a lista de ponto de entrada do item de configuração. Os registros de itens de configuração correspondentes são exibidos.
      Figura 1. Selecionar item de configuração
      Selecionar item de configuração
    5. Selecione qualquer Item de configuração.
    6. Navegue até as listas suspensas relacionadas exibidas na parte superior da página.
      Para o item de configuração (IC) de incidente de segurança, as listas suspensas contêm a seguinte lista de ações de recursos. As ações de IC listadas coletam os resultados e os armazenam como dados de aprimoramento em um incidente de segurança:
      • Obter arquivo: esta capacidade executa a ação para obter arquivos com um valor de hash específico ou um nome de arquivo.
      • Isolar host: esta capacidade restringe as conexões do sistema a outros dispositivos.
      • Obter detalhes do host: esta capacidade recupera os detalhes do host, detalhes de usuários conectados e outros recursos de aprimoramento.
      • Executar ações adicionais: esta capacidade executa as ações adicionais além das ações padrão.
      • Obter estatísticas de rede: esta capacidade recupera as estatísticas de rede de um recurso afetado.
      • Obter processo em execução: esta capacidade recupera uma lista de processos em execução em um item de configuração (IC) de um host.
      • Obter usuários conectados: esta capacidade reúne os dados de usuários conectados e os relaciona ao incidente de segurança.
    7. Selecione Executar ações adicionais para executar a ação de recursos de integração relacionados a informações de ameaça.
      A caixa de diálogo modal Executar implementações adicionais é exibida.
    8. Selecione uma ou mais implementações na lista.
      Executar ações adicionais
    9. Clique em Avançar.
      Agora você será movido para a próxima etapa para adicionar os detalhes do tempo de execução.
    10. Insira um comentário para associar à ação.
    11. Clique em Enviar.
      Depois que os registros selecionados forem enviados, será exibida uma mensagem informando que a solicitação de ação adicional está sendo executada. Além disso, o respectivo andamento da ação de implementação é exibido na seção Atividade.
    12. Exiba os resultados da seção da lista relacionada de EDR.