Ansichten:

Überprüfen Sie detaillierte Informationen zu einer Workbench-Einsicht und die Liste der in der Einsicht enthaltenen Warnungen.

Workbench InsightsWarnungen zeigt die Liste der mit einer Erkenntnis verbundenen Warnungen und weitere Details zur Erkenntnis an.
Die folgende Tabelle zeigt die verfügbaren Aktionen für Warnungen auf.
Aktion
Beschreibung
Alarmstatus ändern
Wählen Sie eine oder mehrere Warnungen aus und klicken Sie auf Change Status, um den Fortschritt der Warnungen oder Untersuchungen zu aktualisieren.
Hinweis
Hinweis
Wenn Sie Closed - false positive auswählen, müssen Sie angeben, warum Sie denken, dass dieser Alarm falsch war.
Verknüpfen Sie Warnungen mit einer Erkenntnis
Nach der Durchführung einer Alarmuntersuchung wählen Sie einen oder mehrere Alarme aus und klicken Sie auf Associate with Insight, um die ausgewählten Alarme mit der angegebenen Erkenntnis zu verknüpfen.
Hinweis
Hinweis
  • Wenn ein Alarm manuell mit einer Erkenntnis verknüpft oder von einer Erkenntnis getrennt wird, korreliert Trend Vision One den Alarm nicht, wenn ein neuer Alarm empfangen wird.
  • Ein Alarm kann nur mit einer einzigen Erkenntnis verknüpft werden.
Warnungen aus einer Erkenntnis entfernen
Nach der Durchführung einer Alarmuntersuchung wählen Sie einen oder mehrere Alarme aus und klicken Sie auf Remove from Insight.
Hinweis
Hinweis
Wenn ein Alarm manuell mit einer Erkenntnis verknüpft oder von einer Erkenntnis getrennt wird, korreliert Trend Vision One den Alarm nicht, wenn ein neuer Alarm empfangen wird.
Automatisierte Antwort-Playbooks ausführen
Wählen Sie einen oder mehrere Alarme aus und klicken Sie auf Execute Playbook, um automatisierte Antwort-Playbooks für die angegebenen Alarme auszuführen.
Wichtig
Wichtig
Um die automatisierte Reaktion für die ausgewählten Warnungen zu starten, konfigurieren Sie zuerst die Automatisierten Antwort-Playbooks.
Verwandte Ereignisse anzeigen und Ereignisse zu einer Erkenntnis hinzufügen
Klicken Sie auf das Suchsymbol (view_related_events=20250818023315.png) am Ende einer Warnung, um von der KI empfohlene Ereignisse anzuzeigen, die sich auf Endpunkte im Wirkungsspektrum dieser Warnung beziehen.
Workbench nutzt jetzt KI, um Endpunkt-bezogene Ereignisse hervorzuheben, die Ihnen helfen, relevante Aktivitäten zu entdecken, die möglicherweise nicht von Anfang an in der Einsicht enthalten waren. Sie können die Ereignisse zur Einsicht hinzufügen, um weitere Korrelationen herzustellen und versteckte Verbindungen sowie verdächtige Aktivitäten aufzudecken.
  1. Wählen Sie auf dem Related events-Panel einen Hostnamen aus, um die Ereignisse anzuzeigen, wenn mehrere Hosts verfügbar sind.
    Hinweis
    Hinweis
    Nur die Ereignisse, die innerhalb von zwei Stunden vor und nach der Workbench-Warnung aufgetreten sind, können angezeigt werden.
  2. Klicken Sie auf der Registerkarte Observed Attack Techniques oder Aktivitäten auf add_event_to_insight=20250818030125.png, um ein Ereignis zur aktuellen Erkenntnis hinzuzufügen.
  3. Bestätigen Sie die Informationen im Add Event to Workbench Insight-Panel und klicken Sie auf Hinzufügen.