Ansichten:

Workbench bietet detaillierte Warninformationen für effektivere Untersuchungen.

Die folgende Tabelle beschreibt die grundlegenden Informationen, die Workbench über Warnungen bereitstellt.
Element
Beschreibung
Status
Status: Der aktuelle Status des Alarms oder der Untersuchung, die in Workbench ausgelöst wurde
  • Workbench_status_new=GUID-ECE0863A-AFD9-43A7-9245-9ECD4E1D18AB=1=de-de=Low.pngÖffnen: Der Alarm ist neu und wird derzeit nicht untersucht
  • Workbench_status_in_progress=GUID-E3AF045A-35FC-489C-A753-DE2960F7D022=1=de-de=Low.pngWird ausgeführt: Der Alarm wird untersucht.
  • Workbench_status_closed=GUID-25658551-3D98-49BC-AE83-48B6710C2065=1=de-de=Low.pngGeschlossen: Die Alarmuntersuchung ist abgeschlossen.
Bewertung
Die insgesamt zugewiesene Schwere der Warnung
Trend Vision One berechnet die Punktzahl basierend auf der Schwere des übereinstimmenden Erkennungsmodells und dem Wirkungsspektrum der Warnung.
Hinweis
Hinweis
Ab dem 18. Januar 2021 hat Trend Vision One das Bewertungsmodell angepasst und die maximale Alarmbewertung auf 99 neu definiert. Das neue Bewertungsmodell betrifft nur neue Alarme.
Das neue Bewertungsmodell berücksichtigt die Schwere des übereinstimmenden Modells als dominierenden Faktor bei der Berechnung und legt einen bestimmten Schwellenwert für den Einflussbereich fest.
Workbench-ID
Der eindeutige Bezeichner des Alarms
Modellname
Das Erkennungsmodell, das den Alarm ausgelöst hat
Modellschweregrad
Die Schweregrad, der einem Modell zugewiesen wurde, das den Alarm ausgelöst hat
Auswirkungsbereich
Die Anzahl der Entitäten, die von der Warnung im Unternehmensnetzwerk betroffen sind
Datenquelle / Datenverarbeiter
Das Produkt, das die Daten an die Workbench-App liefert
Erstellt
Datum und Zeitpunkt, zu dem Trend Vision One die Warnung generiert hat
Ergebnisse
Findings: Die Ergebnisse der Alarmuntersuchung.
  • Benign true positive: Die Untersuchung bestätigte das Vorhandensein einer echten Bedrohung, die kein Risiko für die Organisation darstellt. Gutartige echte Positive sind das Ergebnis von Penetrationstests oder anderen legitimen Aktivitäten in Ihrer Umgebung.
  • False positive: Keine bösartige Aktivität gefunden.
  • Beachtenswert: Trend Vision One hat ungewöhnliche Aktivitäten festgestellt, die eine weitere Untersuchung erfordern.
  • Other findings: Die Untersuchung hatte nicht genügend Daten, um die Ergebnisse zu validieren.
  • True positive: Die Untersuchung bestätigte das Auftreten von Bedrohungen oder bösartigen Aktivitäten.
Fall
Die ID des dem Alarm zugewiesenen Falls.
Besitzer
Der dem Alarm zugewiesene Benutzer.
Zugehörige Erkenntnis
Die mit der Warnung verknüpfte Workbench-Einsicht
Automatisierte Antwort
Der Status der automatisierten Antwortaufgaben, die mit der Warnung verbunden sind
In der folgenden Tabelle werden die Alarminformationen erläutert, die auf dem Bildschirm mit den Alarmdetails angezeigt werden.
Element
Beschreibung
Übersicht
Grundlegende Informationen zur Warnung, die Sie untersuchen
Wenn das Threat Intelligence Sweeping-Modell den Alarm auslöst, werden die folgenden Informationen angezeigt:
  • Campaign: Die zugehörige Bedrohungskampagne
  • Industry: Die Branche, zu der die Bedrohungskampagne gehört
  • Intelligence source: Die Datenquelle, die den übereinstimmenden Intelligenzbericht bereitstellt
  • Zuerst gesehen: Die Datum- und Uhrzeitangaben, wann die Kompromittierungsindikatoren erstmals in der Umgebung identifiziert wurden
  • Zuletzt gesehen: Das Datum und die Uhrzeit, zu denen die Kompromittierungsindikatoren zuletzt in der Umgebung identifiziert wurden
Höhepunkte
Die Liste der Ereignisobjekte, die den Alarm mit kontextuell angereicherten Informationen ausgelöst haben.
Ereignisse bestehen aus den folgenden Informationen:
  • Der Filter, der verdächtiges Verhalten erkannt hat
  • Technique: Die erkannte MITRE-Technik
  • Erkennung: Die erkannte Malware
  • Data source / processor: Das Produkt, das die Alarmdaten an Workbench gesendet hat
  • Emerging threats: Die aufkommenden Bedrohungen im Zusammenhang mit der Erkennung
  • Threat actors: Die Bedrohungsakteure, die mit der Erkennung verbunden sind
  • Exploited CVE: Die erkannten allgemeinen Schwachstellen und Expositionen (CVE) sowie Informationen über Kampagnen, die die Sicherheitslücke aktiv ausnutzen
  • Malware/Tool: Die in der Warnung erkannten Tools oder Malware
  • Datum und Uhrzeit der Erkennung
  • Die an dem Ereignis beteiligten Objekte, wie Endpunkte, Befehle, E-Mail-Nachrichten und Registrierungswerte
    Ein Ereignis besteht aus zwei Arten von Objekten:
    • Hervorgehobene Objekte, die den aktuellen Filter ausgelöst haben
    • In den Wirkungsbereich einbezogene Einheiten
    Wenn das Threat Intelligence Sweeping-Modell den Alarm auslöst, zeigt der Highlights-Abschnitt stattdessen die identifizierten Indikatoren für Kompromittierung (IoCs), Datenquelle/-verarbeiter und die zugehörigen Objekte an.
Zeitachse
Datum und Zeitpunkt der Erkennung
Beobachtbares Diagramm
Detailliertere Kontextinformationen für den Alarm in visualisierter Form
Klicken Sie auf eines der Ereignisse im Abschnitt Highlights, um die spezifischen Objekte im Observable Graph hervorzuheben.
Jeder Knoten im Diagramm bezieht sich auf ein Objekt, und jede Verbindung spiegelt die Beziehung zwischen einem Knoten und dem angrenzenden Knoten wider.
  • Jede Zeile (observable_graph_line=GUID-4074BA53-A2FA-4435-ABD2-64D558508C9B=1=de-de=Low.jpg) stellt die Zuordnung zwischen den beiden Objekten dar, zum Beispiel ein Benutzerkonto, das mit einem Endpunkt verknüpft ist.
  • Jeder Pfeil (Workbench_analysis_chain_-_event=GUID-CBD67C27-A3BF-4E1C-B046-C21D9E2D42D4=1=de-de=Low.png) zeigt die Richtung der Transaktion zwischen den beiden Objekten an, zum Beispiel die Richtung vom E-Mail-Absender zum Empfänger.
  • Das Symbol für Verbindungsdetails (Workbench_alert_observable_graph_doubleheaded_arrow=GUID-20230116113939=1=de-de=Low.png) zeigt die Verbindung zwischen den beiden Objekten an. Zum Beispiel die Verbindung zwischen einem Endpunkt und einer Website.
    Klicken Sie auf das Symbol für Verbindungsdetails, um weitere Informationen anzuzeigen.
Zugehörige Assets
Die neuesten Endpunkte und Benutzer, die mit den an dem Ereignis beteiligten Ressourcen kommuniziert haben