Explorar tela de investigação

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • O objetivo primário da tela de investigação é apresentar os dados de incidente de segurança necessários em um local comum.

    Em Espaço SIR, a investigação de incidentes de segurança gira principalmente em torno de alguns pontos de entrada principais.

    A seguir estão alguns pontos de entrada principais provisionados para os analistas de segurança no sistema de base:
    • Observáveis Associados
    • Itens de configuração
    • Usuários afetados
    • E-mails de Phishing Associados
    • Pesquisa de E-mail

    Você também pode configurar os pontos de entrada acima adicionando, modificando ou removendo os pontos de entrada, conforme aplicável. Para obter mais informações, consulte Configurar investigação de tempo de design de SI.

    Em Investigação , a tabela de ponto de entrada atua como a tabela primária. Todas as tabelas que contêm os resultados de uma ação de orquestração realizada na tabela primária são apresentadas como tabela secundária no ponto de entrada.

    Por exemplo, para Observáveis associados ponto de entrada, Associar observáveis Tabela é a tabela primária e outras tabelas, como Resultados da pesquisa de ameaças, Resultados de envio da área restrita e assim por diante, são a tabela secundária.

    O analista de segurança pode executar todas as ações de orquestração na tabela Observáveis associados e poderá exibir todas as informações associadas na mesma página, sem a necessidade de navegar em vários lugares.

    Nota:
    Quando um usuário clica nos gráficos interativos no Visão geral como observáveis mal-intencionados, o usuário será direcionado para a exibição filtrada de observáveis mal-intencionados na tela de investigação. Como alternativa, o usuário pode iniciar diretamente a investigação navegando até a tela de investigação, que terá todos os dados.

    A lista de tabela secundária em um ponto de entrada também é configurável. Para obter mais informações, consulte Configurar investigação de tempo de design de SI.

    A seguir está um exemplo detalhado de um ponto de entrada (observável associado) configurado e provisionado no sistema de base:
    1. Selecione Observáveis associados ponto de entrada na lista suspensa.

      Aqui a tabela primária também é Observável associado .

      Figura 1. Configurações de lista de ponto de entrada
      Pontos de entrada
    2. Selecione um ou mais observáveis na tabela primária.
    3. Execute a capacidade desejada.

      Por exemplo, selecione Executar Pesquisa de ameaças para buscar os resultados da pesquisa de ameaças para um observável selecionado.

      Nota:
      Quando uma ação observável correspondente é executada, o processo é executado no back-end e os resultados são exibidos abaixo da lista de observáveis.
    4. Clique em Exibir informações associadas para exibir os resultados dos observáveis. Os resultados são exibidos na mesma página.
      Nota:
      Você pode exibir os resultados usando filtros por resultados, selecione um deles Todos os resultados ou Resultados mais recentes qualquer que seja a exibição desejada. Os resultados mais recentes são exibidos por padrão. Se houver várias implementações (de integrações), os resultados mais recentes por implementação serão mostrados.

      Além disso, você pode filtrar os resultados por listas relacionadas associadas que são os resultados da tabela secundária. Por padrão, todas as listas relacionadas da tabela secundária configuradas são exibidas. Para obter mais informações, consulte Configurar investigação de tempo de design de SI. No entanto, você pode optar por selecionar somente as tabelas secundárias necessárias.

      Exibir informações associadas.

    5. Clicando em Exibir informações associadas você pode exibir todos os dados da tabela secundária associada em um só lugar, no entanto, é possível fechar a exibição de listas relacionadas selecionando Fechar exibição botão. Depois de fechar a exibição, você só poderá ver a tabela primária de observáveis como anteriormente.
    6. Clique em Expandir tudo ícone de direção para cima em Exibindo informações associadas disponíveis tabela de resultados para expandir todos os dados da tabela secundária de listas relacionadas.

      Expandir todas as opções de exibição.

    7. Clique em Recolher tudo ícone de direção para baixo para recolher todos os dados da tabela secundária de listas relacionadas.
      Nota:
      A faixa na parte superior da seção de informações associada que contém todos os dados da tabela secundária mostra quantas informações relacionadas ao observável estão sendo apresentadas ao usuário. Por exemplo, inicialmente, se você selecionar dois observáveis e clicar em Exibir informações associadas , a faixa mostra, Exibir informações associadas disponíveis para 2 observáveis associados. . Se você selecionar, por exemplo, outro observável, a faixa dirá que as informações estão desatualizadas (captura de tela abaixo). Você terá que clicar Exibir informações associadas novamente para obter os dados mais recentes.

      Resultados de observáveis associados desatualizados

      Para além da exibição abrangente acima das informações associadas aos observáveis, se você quiser exibir mais informações sobre um registro na tabela primária, clique no observável e o formulário de registro da tabela primária será aberto em uma guia diferente com uma exibição mais detalhada do registro selecionado. Todos os dados da tabela secundários associados desse registro selecionado específico também são apresentados em Informações associadas seção.

      No entanto, a seção de informações associada exibe somente os resultados mais recentes da tabela secundária, conforme visto na tela de investigação, no modo somente leitura. Nenhuma ação é possível nesta exibição. A página do formulário da tabela secundária pode ser aberta em uma nova guia que renderizará a página totalmente funcional com quaisquer ações, se houver.

      Você pode alternar entre as diferentes tabelas usando a lista suspensa. Você também pode expandir ou recolher cada formulário na seção de informações associada.

      Em Observável página de formulário (página de formulário de registro de tabela primária) você pode executar determinadas ações conforme disponíveis. Sempre que executar uma ação, você pode clicar em atualizar na faixa de informações associada para atualizar os dados.

    8. Clique em Expandir tudo para expandir todas as tabelas secundárias de listas relacionadas. Por padrão, todos os secundários são expandidos.
      Figura 2. Exibição expandida dos observáveis
      Exibição expandida do ponto de entrada