Explorar tela de investigação

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • O objetivo primário da tela de investigação é apresentar os dados necessários do incidente de segurança em um local comum.

    Dentro do Espaço SIR, a investigação de incidentes de segurança gira principalmente em torno de alguns pontos de entrada principais.

    A seguir estão alguns pontos de entrada principais que são provisionados para os analistas de segurança no sistema de base:
    • Observáveis Associados
    • Itens de configuração
    • Usuários afetados
    • E-mails de Phishing Associados
    • Pesquisa de E-mail

    Você também pode configurar os pontos de entrada acima adicionando, modificando ou removendo os pontos de entrada conforme aplicável. Para obter mais informações, consulte Configurar investigação de tempo de design de SI.

    Na guia Investigação, a tabela de ponto de entrada atua como a tabela primária. Todas as tabelas que contêm os resultados de uma ação de orquestração realizada na tabela primária são apresentadas como tabelas secundárias no ponto de entrada.

    Por exemplo, para o ponto de entrada de Observáveisassociados, a tabela Observáveis associados é a tabela primária e outras tabelas, como Resultados de pesquisa de ameaças, resultados de envio da área restrita e assim por diante, são a tabela secundária.

    O Analista de segurança pode executar todas as ações de orquestração na tabela Observáveis associados e poderá exibir todas as informações associadas na mesma página, sem a necessidade de navegar por vários locais.

    Nota:
    Quando um usuário clica nos gráficos interativos na página Visão geral, como observáveis maliciosos, o usuário será direcionado para a exibição filtrada de observáveis maliciosos na tela de investigação. Como alternativa, o usuário pode iniciar diretamente a investigação navegando até a tela de investigação que terá todos os dados.

    A lista de tabelas secundárias em um ponto de entrada também é configurável. Para obter mais informações, consulte Configurar investigação de tempo de design de SI.

    A seguir está um exemplo detalhado de um ponto de entrada (observável associado) que é configurado e provisionado no sistema de base:
    1. Selecione o ponto de entrada Observáveis associados na lista suspensa.

      Aqui, a tabela primária também é Observável associado.

      Figura 1. Configurações de lista de ponto de entrada
      Pontos de entrada
    2. Selecione um ou mais observáveis da tabela primária.
    3. Execute a capacidade desejada.

      Por exemplo, selecione Executar pesquisa de ameaças para buscar os resultados da pesquisa de ameaças para um observável selecionado.

      Nota:
      Quando uma ação de observável correspondente é executada, o processo é executado no back-end e os resultados são exibidos abaixo da lista de Observáveis.
    4. Clique em Exibir informações associadas para exibir os resultados dos observáveis. Os resultados são exibidos na mesma página.
      Nota:
      Você pode exibir os resultados usando filtros por resultados, selecione Todos os resultados ou Últimos resultados, o que for a exibição desejada. Por padrão, os resultados mais recentes são exibidos. Se houver várias implementações (de integrações), os resultados mais recentes por implementação serão mostrados.

      Além disso, você pode filtrar os resultados por listas relacionadas associadas, que são os resultados da tabela secundária. Por padrão, todas as listas relacionadas à tabela secundária configurada são exibidas. Para obter mais informações, consulte Configurar investigação de tempo de design de SI. No entanto, você pode optar por selecionar somente as tabelas secundárias necessárias.

      Exibir informações associadas.

    5. Ao clicar em Exibir informações associadas, você pode exibir todos os dados da tabela secundária associada em um só lugar. No entanto, você pode fechar a exibição de listas relacionadas selecionando o botão Fechar exibição. Depois de fechar a exibição, você só poderá ver a tabela primária de observáveis como antes.
    6. Clique no ícone Expandir tudo na direção ascendente na tabela Exibição de resultados de informações associadas disponíveis para expandir todos os dados da tabela secundária de listas relacionadas.

      Expandir todas as opções de exibição.

    7. Clique no ícone de direção descendente de Recolher tudo para recolher todos os dados da tabela secundária de listas relacionadas.
      Nota:
      A faixa na parte superior da seção de informações associada que contém todos os dados da tabela secundária mostra quantas informações relacionadas ao observável estão sendo apresentadas ao usuário. Por exemplo, inicialmente, se você selecionar dois observáveis e clicar em Exibir informações associadas, a faixa mostrará Exibição de informações associadas disponíveis para 2 observáveis associados.. Se você selecionar, por exemplo, outro observável, a faixa informará que as informações estão desatualizadas (captura de tela abaixo). Você precisará clicar em Exibir informações associadas novamente para obter os dados mais recentes.

      Resultados de observáveis associados desatualizados

      Além da exibição abrangente acima das informações associadas aos observáveis, se você quiser exibir mais informações sobre um registro na tabela primária, clique no observável e o formulário de registro da tabela primária será aberto em uma guia diferente com uma exibição mais detalhada do registro selecionado. Todos os dados da tabela secundária associada desse registro selecionado específico também são apresentados na seção Informações associadas.

      No entanto, a seção de informações associada exibe somente os resultados mais recentes da tabela secundária, conforme visto na tela de investigação, no modo somente leitura. Nenhuma ação é possível nesta exibição. A página de formulário da tabela secundária pode ser aberta em uma nova guia que renderizará a página totalmente funcional com todas as ações, se houver.

      Você pode alternar entre as diferentes tabelas usando a lista suspensa. Você também pode expandir ou recolher cada formulário na seção de informações associada.

      Na página do formulário Observável (página do formulário de registro da tabela primária), você pode executar determinadas ações conforme disponíveis. Sempre que executar uma ação, você pode clicar em Atualizar na faixa de informações associada para atualizar os dados.

    8. Clique em Expandir tudo para expandir todas as tabelas secundárias de listas relacionadas. Por padrão, todos os secundários são expandidos.
      Figura 2. Exibição expandida dos observáveis
      Exibição expandida do ponto de entrada