Karta Artefakty

Na karcie Artefakty znajduje się lista wszystkich artefaktów dodanych do elementu pracy, a także umożliwia dodawanie, edytowanie, usuwanie i wykonywanie działań na artefaktach. Jeśli lista jest długa, można filtrować według typu artefaktu.

Aby dodać artefakty, należy kliknąć opcję Dodaj artefakt. Wybierz typ artefaktu, a następnie wprowadź informacje, takie jak typ, załącznik, jeśli zostanie wyświetlone zapytanie, oraz opis artefaktu, w tym sposób, w jaki odnosi się do sprawy. W przypadku niektórych typów artefaktów można wprowadzić wiele wartości, takich jak adresy IP. W zależności od typu artefaktu należy upewnić się, że nowe wartości są oddzielone znakiem nowego wiersza, spacji lub przecinka. Aby wyświetlić poprawne separatory, należy zapoznać się z podpowiedzią przez wartość artefaktu. Po dodaniu artefaktu do elementu pracy jest on również dodawany do widoku artefaktów w całym koncie zgodnie z opisem w sekcji Widok artefaktów.

Istnieje możliwość ograniczenia widoku do konkretnych artefaktów. Kliknij opcję Filtry , aby określić kryteria. W przypadku większości wyborów można dodatkowo filtrować wyniki. Ponadto można kliknąć opcję Ustaw przedział czasu i ograniczyć widok do artefaktów dodanych lub zmodyfikowanych w określonym czasie.

Działania dotyczące poszczególnych artefaktów można wykonać na karcie Artefakty , klikając pionową wielokropek w obszarze Działania. Dostępne działania zależą od typu artefaktu. Na przykład, jeśli istnieje artefakt adresu IP, można kliknąć opcję [ ...] a następnie opcję Uruchom zapytanie w eksploratorze danych w menu działań, aby uruchomić zapytanie w eksploratorze danych w tym artefakcie, tak jak to pokazano na poniższej ilustracji.

Otaczający tekst opisuje tę grafikę, która jest strzałem w interfejs użytkownika.
Uwaga: Działanie wykonywane w celu uruchomienia zapytania w eksploratorze danych jest dostępne tylko dla użytkowników, którzy mają uprawnienia w Eksploratorze danych.

Na liście artefaktów w kolumnie Trafienia można wyświetlić wszystkie dopasowania z kanałów informacyjnych analizy zagrożeń. W kolumnie Wartość wyświetlana jest wartość artefaktu.

Ustawienie dla każdego typu artefaktu określa, czy mają być wyświetlane lub ignorowane relacje z innymi przypadkami. Jeśli możliwe jest wyświetlanie relacji, w kolumnie Liczba przypadków powiązanych wyświetlana jest łączna liczba obserwacji, które mają artefakty o tej samej wartości, niezależnie od typu artefaktu. Myślnik w kolumnie Licznik powiązanych przypadków wskazuje, że ustawienia przypadku relacji nie są włączone.

Pojedynczy artefakt

Kliknij odsyłacz w kolumnie Przypadek powiązany lub Wartość , aby przejść do widoku artefaktów:
  • W tym miejscu można zobaczyć szczegóły artefaktu przypadku, wyświetlając szczegóły tego artefaktu, ponieważ odnosi się on do sprawy, na przykład gdy został dodany do sprawy. Aby edytować dane wstawiane, można kliknąć przycisk Opis .
  • Poniżej znajduje się widok artefaktu, który jest wyświetlany w całym koncie, a jego nazwa jest wyświetlana. Spowoduje to wyświetlenie szczegółów artefaktu, na przykład wtedy, gdy został utworzony sam artefakt. Można kliknąć opcję Podsumowanie , aby edytować dane wstawiane, lub kliknąć opcję Znaczniki , aby dodać lub usunąć znaczniki artefaktów, w przypadku których w znacznikach rozróżniana jest wielkość liter. Kliknij odsyłacz Pierwsze widoczne , aby przejść do sprawy, do której artefakt został dodany po raz pierwszy. Kliknij odsyłacz Ostatnio widziany , aby przejść do sprawy, do której artefakt został ostatnio dodany.
  • W sekcji Hits (Trafienia) można wyświetlić informacje o trafieniach, które przedstawiają wszystkie trafienia ze źródeł informacji o zagrożeniach.
  • W przypadku artefaktów typu DNS i adresu IP w sekcji Whois wyświetlana jest informacja Whois dla nazwy DNS lub adresu IP, jeśli opcja IBM X-Force Exchange jest włączona.
  • W sekcji Sprawy pokrewne znajduje się lista wszystkich powiązanych obserwacji. Użytkownik może kliknąć przypadki, do których użytkownik ma uprawnienia do wyświetlania. Jeśli użytkownik nie ma uprawnień, może wyświetlić identyfikator sprawy i właściciela, ale nie można uzyskać dostępu do sprawy.
  • W sekcji Geolocation można wyświetlić dane geolokalizacyjne dla typów artefaktów adresów IP, jeśli w organizacji włączono tę funkcję.
  • W sekcji Historia artefaktów można wyświetlić kanał informacyjny z historii artefaktów, który jest wyświetlany po utworzeniu, zmianie, dodaniu lub usunięciu artefaktu w przypadku. Istnieje możliwość dodawania lub usuwania filtrów w celu kontrolowania, co jest wyświetlane w historii, na przykład w przypadku dodania lub usunięcia znaczników.
Poniższy rysunek przedstawia przykład artefaktu adresu IP. Niektóre z sekcji są zminimalizowane. Historia artefaktu jest wyświetlana na dole.
Otaczający tekst opisuje tę grafikę, która jest strzałem w interfejs użytkownika.
Uwaga: Aby zmniejszyć duplikowanie artefaktów podczas dodawania artefaktu, który jest tym samym typem i wartością, co istniejący artefakt, artefakt jest aktualizowany, a opis jest dodawany do istniejącego artefaktu. To zachowanie nie ma zastosowania do obserwowanych typów artefaktów danych i przykładów plików innych niż szkodliwe oprogramowanie, takich jak pliki dzienników i załączniki wiadomości e-mail.