Trabalhar com a tela de investigação
A tela de investigação é um recurso significativo importante, que fornece informações mais valiosas para os analistas de Inteligência contra ameaças (TI). Ele fornece uma estrutura estruturada mapeando relacionamentos um para um ou um para muitos e visualizando informações relacionadas a observáveis, indicadores de comprometimento (IOCs) ou entidades.
Ao usar a tela de investigação, os analistas de ameaças podem efetivamente:
- Mapear relacionamentos : Visualize conexões de nó entre várias entidades, como observáveis, indicadores de comprometimento (IOCs), agentes de ameaça, padrões de ataque, ativos afetados e muito mais. Cada objeto na tela de investigação é representado por uma cor específica, junto com seu tipo de objeto, tipo de nó e status. O status reflete a reputação do objeto, como Suspeito , Baixo ou Crítico para observáveis e outros tipos de objeto. Os indicadores são exibidos com a severidade da ameaça associada para ajudar a priorizar a análise.
- Vincular casos ou telas de pintura Vincule um caso ou tela para aprimorar a análise e fornecer uma exibição mais abrangente do cenário de ameaças na gestão de casos.
- O recurso de vinculação permite que os analistas adicionem ou removam nós dinamicamente. Isso também preenche os relacionamentos existentes entre os nós para a tela.
- Gráficos de relacionamento temporários salvando relacionamentos separadamente no contexto da tela de investigação.
- Associações de técnicas MITRE Associe ou remova técnicas DO MITRE com nós diretamente na tela e forneça análise no cartão de cadeia de inutilização DO MITRE.
Pontos de entrada para a tela de investigação
- Primeiro ponto de entrada: Nova tela em branco : Este ponto de entrada deve permitir que os analistas abram uma tela nova e em branco sem nós ou links.
- Segundo ponto de entrada: Abrir tela na investigação de caso :
- Este ponto de entrada abre um caso de investigação existente e permite editar, modificar e renomear a tela.
- Uma nova tela com artefatos existentes como nós.