Explorar tela de investigação
O objetivo primário da tela de investigação é apresentar os dados de incidente de segurança necessários em um local comum.
Em Espaço SIR, a investigação de incidente de segurança gira principalmente em torno de alguns pontos de entrada principais.
- Observáveis Associados
- Itens de configuração
- Usuários afetados
- E-mails de Phishing Associados
- Pesquisa de E-mail
Você também pode configurar os pontos de entrada acima adicionando, modificando ou removendo os pontos de entrada, conforme aplicável. Para obter mais informações, consulte Configure a investigação de tempo de design do SI.
Em Investigação , a tabela de ponto de entrada atua como a tabela primária. Todas as tabelas que contêm os resultados de uma ação de orquestração realizada na tabela primária são apresentadas como tabela secundária no ponto de entrada.
Por exemplo, para Observáveis associados ponto de entrada, Associar observáveis A tabela é a tabela primária e outras tabelas, como Resultados da pesquisa de ameaças, Resultados de envio da área restrita e assim por diante, são a tabela secundária.
O analista de segurança pode executar todas as ações de orquestração na tabela de observáveis associados e poderá exibir todas as informações associadas na mesma página, sem a necessidade de navegar por vários locais.
A lista de tabelas secundárias em um ponto de entrada também é configurável. Para obter mais informações, consulte Configure a investigação de tempo de design do SI.
- Selecione Observáveis associados ponto de entrada na lista suspensa.
Aqui a tabela primária também é Observável associado .
Figura 1. Configurações de lista de ponto de entrada - Selecione um ou mais observáveis na tabela primária.
- Execute a capacidade desejada.
Por exemplo, selecione Execute a Pesquisa de ameaças para buscar os resultados da pesquisa de ameaças para um observável selecionado.
Nota:Quando uma ação de observável correspondente é executada, o processo é executado no back-end e os resultados são exibidos abaixo da lista de observáveis. - Clique em Exibir informações associadas para exibir os resultados dos observáveis. Os resultados são exibidos na mesma página.Nota:Você pode exibir os resultados usando filtros por resultados, selecione um dos dois Todos os resultados ou Resultados mais recentes , seja qual for a exibição desejada. Por padrão, os resultados mais recentes são exibidos. Se houver várias implementações (de integrações), os resultados mais recentes por implementação serão mostrados.
Além disso, você pode filtrar os resultados por listas relacionadas associadas quais são os resultados da tabela secundária. Por padrão, todas as listas relacionadas da tabela secundária configuradas são exibidas. Para obter mais informações, consulte Configure a investigação de tempo de design do SI. No entanto, você pode optar por selecionar somente as tabelas secundárias necessárias.
- Clicando em Exibir informações associadas você pode exibir todos os dados da tabela secundária associada em um só lugar, no entanto, você pode fechar a exibição de listas relacionadas selecionando Fechar exibição botão. Depois de fechar a exibição, você só poderá ver a tabela primária de observáveis como anteriormente.
- Clique em Expandir tudo ícone de direção para cima dentro de Exibindo informações associadas disponíveis tabela de resultados para expandir todos os dados da tabela secundária de listas relacionadas.
- Clique em Recolher tudo ícone de direção para baixo para recolher todos os dados da tabela secundária de listas relacionadas.Além da exibição abrangente acima das informações associadas aos observáveis, se você quiser exibir mais informações sobre um registro na tabela primária, clique no observável e o formulário de registro da tabela primária será aberto em uma guia diferente com uma exibição mais detalhada do registro selecionado. Todos os dados da tabela secundária associada desse registro específico selecionado também são apresentados em Informações associadas seção.Nota:A faixa na parte superior da seção de informações associada que contém todos os dados da tabela secundária mostra quantas informações relacionadas ao observável estão sendo apresentadas ao usuário. Por exemplo, inicialmente, se você selecionar dois observáveis e clicar em Exibir informações associadas , a faixa mostra, Exibindo informações associadas disponíveis para 2 observáveis associados. . Se você selecionar, por exemplo, outro observável, a faixa informará que as informações estão desatualizadas (captura de tela abaixo). Você terá que clicar Exibir informações associadas novamente para obter os dados mais recentes.
No entanto, a seção de informações associada exibe somente os resultados mais recentes da tabela secundária, como visto na tela de investigação, no modo somente leitura. Nenhuma ação é possível nesta exibição. A página do formulário da tabela secundária pode ser aberta em uma nova guia que renderizará a página totalmente funcional com quaisquer ações, se houver.
Você pode alternar entre as diferentes tabelas usando a lista suspensa. Você também pode expandir ou recolher cada formulário na seção de informações associada.
Em Observável página de formulário (página de formulário de registro de tabela primária) você pode executar determinadas ações conforme disponíveis. Sempre que executar uma ação, você pode clicar em Atualizar na faixa de informações associada para atualizar os dados.
- Clique em Expandir tudo para expandir todas as tabelas secundárias de listas relacionadas. Por padrão, todos os secundários são expandidos.
Figura 2. Exibição expandida dos observáveis