Explorer le canevas d’examen

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • L’objectif principal du canevas d’enquête est de présenter les données d’incident de sécurité nécessaires en un seul endroit commun.

    Dans le SIR Workspace, l’enquête sur les incidents de sécurité s’articule principalement autour de quelques points d’entrée clés.

    Voici quelques points d’entrée clés qui sont mis en service pour les analystes de sécurité dans le système de base :
    • Observables associés
    • Éléments de configuration
    • Utilisateurs affectés
    • E-mails associés Phish
    • Recherche d'e-mail

    Vous pouvez également configurer les points d’entrée ci-dessus en ajoutant, modifiant ou supprimant les points d’entrée, le cas échéant. Pour plus d'informations, consultez Configurer l’examen du temps de conception SI.

    Dans l’onglet Examen , la table de points d’entrée fait office de table parente. Toutes les tables qui contiennent les résultats d’une action d’orchestration effectuée sur la table parente sont présentées comme tables enfants dans le point d’entrée.

    Par exemple, pour le point d’entrée Observables associés , la table Associer les observables est la table parente, et les autres tables telles que Résultats de la recherche de menace, Résultats de soumission du bac à sable, etc. sont la table enfant.

    L’analyste de la sécurité peut effectuer toutes les actions d’orchestration sur la table des observables associés et pourra afficher toutes les informations associées sur la même page, sans avoir besoin de naviguer dans plusieurs endroits.

    Remarque :
    Lorsqu’un utilisateur clique sur les graphiques interactifs de la page Vue d’ensemble , tels que les observables malveillants, il accède à la vue filtrée des observables malveillants dans le canevas d’examen. L’utilisateur peut également commencer directement l’enquête en accédant au canevas d’enquête qui contient toutes les données.

    La liste des tables enfants sous un point d’entrée est également configurable. Pour plus d'informations, consultez Configurer l’examen du temps de conception SI.

    Voici un exemple détaillé d’un point d’entrée (observable associé) configuré et mis en service dans le système de base :
    1. Sélectionnez le point d’entrée Observables associés dans la liste déroulante.

      Ici, la table parente est également un observable associé.

      Figure 1. Configurations de listes de points d'entrée
      Points d'entrée
    2. Sélectionnez un ou plusieurs observables dans la table parente.
    3. Exécutez l’aptitude souhaitée.

      Par exemple, sélectionnez Exécuter une recherche de menace pour extraire les résultats de la recherche de menace pour un observable sélectionné.

      Remarque :
      Lorsqu’une action observable correspondante est exécutée, le processus est exécuté dans le back-end et les résultats sont affichés sous la liste Observables.
    4. Cliquez sur Afficher les informations associées pour afficher les résultats des observables. Les résultats sont affichés sur la même page.
      Remarque :
      Vous pouvez afficher les résultats à l’aide de filtres par résultats, sélectionner Tous les résultats ou Derniers résultats, selon la vue souhaitée. Par défaut, les derniers résultats s’affichent. S’il existe plusieurs implémentations (d’intégrations), les derniers résultats par implémentation s’affichent.

      En outre, vous pouvez filtrer les résultats par listes connexes associées qui sont les résultats de la table enfant. Par défaut, toutes les listes connexes de la table enfant configurée s’affichent. Pour plus d'informations, consultez Configurer l’examen du temps de conception SI. Toutefois, vous pouvez choisir de sélectionner uniquement les tables enfants requises.

      Affichez les informations associées.

    5. En cliquant sur Afficher les informations associées , vous pouvez afficher toutes les données de la table enfant associée au même endroit. Cependant, vous pouvez fermer la vue des listes connexes en sélectionnant le bouton Fermer la vue . Une fois la vue fermée, vous ne pouvez voir que la table parente des observables comme précédemment.
    6. Cliquez sur l’icône Développer tout vers le haut dans la table Affichage des résultats d’informations associées disponibles pour développer toutes les données de la table enfant des listes connexes.

      Agrandir la vue des options.

    7. Cliquez sur l’icône Réduire tout dans la direction descendante pour réduire toutes les données de table enfants des listes connexes.
      Remarque :
      La bannière située en haut de la section des informations associées, qui contient toutes les données de la table enfant, indique le nombre d’informations connexes observables présentées à l’utilisateur. Par exemple, initialement, si vous sélectionnez deux observables et cliquez sur Afficher les informations associées, la bannière affiche : Affichage des informations associées disponibles pour 2 observables associés. Si vous sélectionnez par exemple un autre observable, la bannière indique que les informations sont obsolètes (capture d’écran ci-dessous). Vous devrez cliquer à nouveau sur Afficher les informations associées pour obtenir les données les plus récentes.

      Résultats des observables associés obsolètes

      En plus de la vue complète des informations associées aux observables ci-dessus, cliquez sur l’observable et le formulaire d’enregistrement de la table parente s’ouvre dans un onglet différent avec une vue plus détaillée de l’enregistrement sélectionné. Toutes les données de table enfants associées de cet enregistrement sélectionné particulier sont également présentées dans la section Informations associées .

      Toutefois, la section d’informations associée affiche uniquement les derniers résultats de la table enfants, tels qu’ils apparaissent dans le canevas d’examen, en mode lecture seule. Aucune action n’est possible dans cette vue. La page de formulaire de la table enfant peut être ouverte dans un nouvel onglet qui rendra la page entièrement fonctionnelle avec toutes les actions, le cas échéant.

      Vous pouvez passer d’une table à l’autre à l’aide de la liste déroulante. Vous pouvez également développer ou réduire chaque formulaire dans la section des informations associée.

      Dans la page du formulaire Observable (page du formulaire d’enregistrement de la table parente), vous pouvez effectuer certaines actions selon les disponibilités. Chaque fois que vous effectuez une action, vous pouvez cliquer sur Actualiser sur la bannière d’informations associée pour actualiser les données.

    8. Cliquez sur Développer tout pour développer toutes les listes connexes de la table enfants. Par défaut, tous les enfants sont développés.
      Figure 2. Vue élargie des observables
      Vue développée du point d’entrée