Gestão de casos de segurança fornece um meio para que os analistas de segurança envolvidos na busca de ameaças coletem informações sobre atividades suspeitas em seu ambiente. Registros relacionados a casos, como incidentes de segurança, observáveis, ICs e usuários afetados, podem ser adicionados a casos para acomodar análises amplas e específicas.

Com a capacidade de alternar facilmente os registros e as informações relacionadas, os analistas podem avaliar se estão enfrentando uma campanha direcionada, ameaça persistente avançada e assim por diante.

Casos de segurança podem ser criados a partir de várias origens em sua instância, incluindo Gestão de casos de segurança, Resposta a incidentes de segurança e Inteligência contra ameaças. Você também pode criar casos a partir de itens de configuração e usuários afetados nas tabelas Itens de configuração [cmdb.ci] e Usuários [sys.user], respectivamente. Após a criação dos casos, cada uma dessas origens também pode ser usada para adicionar recursos de análise valiosos aos casos existentes.

Cada caso de segurança consiste em três seções principais, uma seção de cabeçalho, uma seção com detalhes adicionais do caso e uma seção de artefatos de caso que contém uma coleção de registros que ajudam a criar um argumento para identificar e lidar com ameaças específicas.

Cabeçalho do caso

O cabeçalho do caso fornece informações básicas usadas para identificar e classificar o caso de segurança. O número do caso usa o prefixo SECC.

Detalhes adicionais do caso

. Detalhes adicionais do caso a seção fornece informações específicas da análise que já foi realizada no caso, incluindo seu estado atual e anotações de trabalho e atividades registradas para o caso.

Artefatos de caso

. Artefatos de caso a seção fornece uma série de guias de informações contidas no caso de segurança.

Você pode executar pesquisas no conteúdo de cada guia. Você também pode excluir registros específicos que você já avaliou como seguros ou que não têm valor em sua investigação. Os registros excluídos não são excluídos, mas ficam ocultos da exibição. Se necessário, você pode exibir registros excluídos e adicioná-los novamente.

Em cada guia, você pode clicar no ícone Detalhes adicionais para mostrar informações relacionadas ao registro selecionado. Por exemplo, se você clicar em Itens de configuração Para exibir o Gerenciador de itens de configuração e clicar em Detalhes adicionais para um IC específico, você pode exibir incidentes, itens vulneráveis e anotações associadas a esse IC.

Você também pode selecionar um registro e clicar em Anote botão para um artefato relacionado ao caso para adicionar anotações ao registro. Anotações são simplesmente anotações que cada analista pode fazer em um artefato específico.

Outras ferramentas que o analista pode usar para examinar casos incluem:

• Execute uma pesquisa de vistas em observáveis em um caso
• PESQUISE artefatos de segurança