Fälle und Objekte
Ein Fall ist ein Vorfall oder Ereignis, bei dem Daten oder ein System kompromittiert werden könnten. Anwendungsbenutzer oder -systeme, die in die Anwendung integriert sind, können diese Fälle eingeben. Anschließend können Sie dem Fall entsprechend handeln und seinen Status von Beginn an bis zur Lösung überwachen.
Die Anwendung klassifiziert Datentypen mithilfe von Objekten. Sie wählen bei der Erstellung einer Regel, eines Scripts oder eines Workflows einen Objekttyp aus. Der Objekttyp gibt an, auf welchen Datentyp Sie reagieren möchten. Ein Fall wird als Objekt betrachtet und verfügt über die folgenden untergeordneten Objekte:
- Aufgabe. Eine Arbeitseinheit, die von einem Benutzer, einer Einheit oder einem Prozess ausgeführt werden soll. Die Anwendung verarbeitet einige Tasks automatisch. Mitgliedern des Antwortteams können Tasks zugewiesen werden, die sie manuell ausführen und nach Fertigstellung als abgeschlossen markieren sollen. Falleigner können den Verarbeitungsfortschritt der verschiedenen Tasks überwachen.
- Hinweis. Text, der einem Fall oder einer Task als Erläuterung oder zusätzliche Informationen hinzugefügt wird.
- Anhang. Eine Datei, die hochgeladen und an einen Vorfall oder eine Task angehängt wird.
- Artefakt. Daten, die den Vorfall unterstützen oder sich auf ihn beziehen. Die Anwendung organisiert Artefakte nach Typ, wie z. B. Dateiname, MAC-Adresse, verdächtige URL, MD5-und SHA1-Datei-Hashes und vieles mehr. Ein Artefakt kann auch einen Anhang haben, beispielsweise eine E-Mail, eine Protokolldatei oder ein Malware-Beispiel.
- Meilenstein. Ein Datum für ein wichtiges Ereignis im Vorfallzeitplan.
- Datentabelle. Feldwerte in tabellarischer Form.
Dem Taskobjekt können auch Hinweise und Anhänge als Objekte untergeordnet sein.