Antes de usar o. Espaço do analista de segurança

Como acessar o Espaço do analista de segurança

Para acessar este novo espaço, navegue até Incidente de segurança > Incidentes (Nova IU).

O espaço é aberto em uma guia separada do navegador.

Localize os incidentes de segurança que você deseja analisar com os Filtros rápidos

. Espaço do analista de segurançao fornece várias ferramentas para filtrar a lista de incidentes de segurança para que você possa encontrar rapidamente os incidentes de segurança que deseja analisar. Os Filtros Rápidos permitem selecionar um subconjunto de incidentes de segurança com base nos critérios no filtro.

Basta clicar no filtro rápido que você deseja usar.

Você pode definir filtros rápidos adicionais, bem como filtros primários para Espaço do analista de segurança, usando o ambiente clássico. Para obter mais informações, consulte Configure filtros primário e secundário para Espaço do analista de segurança.

Personalize a lista de incidentes de segurança

Como em todas as listas em sua instância, o. Espaço do analista de segurançafornece ferramentas para personalizar a lista e classificar as informações exibidas para atender às suas necessidades de análise.

Poupe tempo com a exibição de verificação

Antes de abrir um registro de incidente de segurança, você pode economizar tempo usando a exibição de verificação. Este recurso permite localizar rapidamente artefatos de segurança vitais sem precisar recarregar a página inteira. Basta clicar em > ícone à esquerda de um número de incidente de segurança para dar uma olhada.

A exibição Peek fornece um snapshot de informações vitais em uma única exibição. Esta exibição pode economizar um tempo valioso quando você está trabalhando com vários incidentes. Você pode clicar nas setas para baixo em determinados campos para fazer atualizações dinâmicas, como atribuir um grupo de atribuição ou um analista específico.

Execute ações rápidas em um incidente de segurança

Depois de selecionar e abrir um incidente de segurança específico, você pode executar ações de economia de tempo no registro.

• Se o incidente de segurança estiver aberto, clique em Editar registro para fazer mudanças rápidas em qualquer um de seus campos. Se o registro estiver fechado, você poderá mudar somente seu marcador.
• Clique em Gerenciar anexos para anexar arquivos ao incidente de segurança. Você também pode baixar ou remover arquivos anexados e editar a criptografia aplicada aos anexos.
• Clique em Redigir e-mail para enviar um e-mail rápido a um colega. Os e-mails podem ser de formato livre ou você pode enviar e-mails predefinidos selecionados em uma lista de modelos. Os e-mails enviados e as respostas recebidas são capturados na Linha do tempo do incidente.
  Nota:

  Você pode criar modelos personalizados que contenham conteúdo reutilizável para e-mails e notificações por e-mail. As variáveis podem ser usadas para inserir informações específicas do incidente ou alerta de segurança, como linha de assunto, prioridade ou categoria de ameaça. Use a tabela Incidente de segurança [sn_si_incident] para e-mails e notificações por e-mail relacionadas a. Resposta a incidentes de segurança. Para obter mais informações, consulte Modelos de e-mail
• Clique em Mais para exibir um snapshot rápido do incidente de segurança, como a descrição, o impacto nos negócios e a prioridade. Você também pode clicar na seta para baixo no Grupo de atribuição e. Atribuído a. campos para fazer mudanças dinâmicas nesses campos.

Trabalhar com vários incidentes de segurança

A interface com guias permite que você mantenha vários incidentes de segurança abertos simultaneamente para que você possa alternar entre eles com um único clique. Isso pode economizar tempo e permitir que você veja o panorama geral quando ameaças de várias fontes são identificadas.

Exiba informações de análise nas guias de incidentes de segurança

Guia Visão Geral

Use o. Visão geral para exibir informações em um incidente de segurança em um único local. Não é necessário abrir outra aplicação ou console.

Os blocos exibidos no Visão geral as guias são personalizáveis. Você pode recolhê-los e expandi-los conforme necessário e pode movê-los arrastando Garra ícone. Clique em Mais opções ícone para excluir um bloco ou mudar o texto do título.

Guia Explorar

Configure os blocos exibidos no Visão geral usando Explorar . Basta selecionar os blocos que você deseja exibir no painel esquerdo e clicar em PIN ícone. Os blocos fixados aparecem automaticamente em Visão geral .

Listas relacionadas adicionais estão disponíveis em Usuários , Itens de configuração e. Incidentes .

Linha do tempo do incidente

Use o. Linha do tempo do incidente durante sua investigação para fins de acompanhamento. Sempre que uma ação é executada em um incidente de segurança, o sistema a registra na Linha do tempo do incidente.

• Você também pode adicionar anotações de trabalho manualmente à linha do tempo digitando-as em Adicione anotações de trabalho e clicando Publicação .
• Você pode pesquisar uma atividade específica da linha do tempo usando a caixa Pesquisar.
• . Filtrar atividade o ícone permite exibir somente os tipos de atividade da linha do tempo que você deseja ver (por exemplo, somente incidentes criados por um analista específico).
• Você pode adicionar ou remover a Linha do tempo do incidente do Visão geral usando Fixar/Desfixar ícone.

Trate incidentes de segurança usando o playbook

Resolva determinados tipos de ameaças de segurança de maneira passo a passo usando os playbooks integrados do analista de segurança. Por exemplo, um analista pode usar o playbook para resolver ataques de phishing e ameaças causados por atividades de código mal-intencionado. Para obter mais informações, consulte Resolva ameaças de segurança com o playbook.