Ansichten:

Überprüfen Sie detaillierte Informationen zu einer Workbench-Einsicht und die Liste der in der Einsicht enthaltenen Warnungen.

Workbench InsightsInsight IDWarnungen zeigt die Liste der Warnungen an, die mit einer Erkenntnis verbunden sind, sowie weitere Details zur Erkenntnis.
Die folgende Tabelle enthält die auf der Registerkarte Warnungen verfügbaren Aktionen:
Aktion
Beschreibung
Alarmstatus ändern
Wählen Sie eine oder mehrere Warnungen aus und klicken Sie auf Change Status, um den Fortschritt der Warnungen oder Untersuchungen zu aktualisieren.
Hinweis
Hinweis
Wenn Sie Closed - false positive auswählen, müssen Sie angeben, warum Sie denken, dass dieser Alarm falsch war.
Verknüpfen Sie Warnungen mit einer Erkenntnis
Nach der Durchführung einer Alarmuntersuchung wählen Sie einen oder mehrere Alarme aus und klicken Sie auf Associate with Insight, um die ausgewählten Alarme mit der angegebenen Erkenntnis zu verknüpfen.
Hinweis
Hinweis
  • Wenn ein Alarm manuell mit einer Erkenntnis verknüpft oder von einer Erkenntnis getrennt wird, korreliert Trend Vision One den Alarm nicht, wenn ein neuer Alarm empfangen wird.
  • Ein Alarm kann nur mit einer einzigen Erkenntnis verknüpft werden.
Warnungen aus einer Erkenntnis entfernen
Nach der Durchführung einer Alarmuntersuchung wählen Sie einen oder mehrere Alarme aus und klicken Sie auf Remove from Insight.
Hinweis
Hinweis
Wenn ein Alarm manuell mit einer Erkenntnis verknüpft oder von einer Erkenntnis getrennt wird, korreliert Trend Vision One den Alarm nicht, wenn ein neuer Alarm empfangen wird.
Automatisierte Antwort-Playbooks ausführen
Wählen Sie einen oder mehrere Alarme aus und klicken Sie auf Execute Playbook, um automatisierte Antwort-Playbooks für die angegebenen Alarme auszuführen.
Wichtig
Wichtig
Um die automatisierte Reaktion für die ausgewählten Warnungen zu starten, konfigurieren Sie zuerst die Automatisierten Antwort-Playbooks.
Verwandte Ereignisse anzeigen und Ereignisse zu einer Erkenntnis hinzufügen
Klicken Sie auf das Suchsymbol (view_related_events=20250818023315.png) am Ende einer Warnung, um von der KI empfohlene Ereignisse anzuzeigen, die sich auf Endpunkte im Wirkungsspektrum dieser Warnung beziehen.
Workbench nutzt jetzt KI, um Endpunkt-bezogene Ereignisse hervorzuheben, die Ihnen helfen, relevante Aktivitäten zu entdecken, die möglicherweise nicht von Anfang an in der Einsicht enthalten waren. Sie können die Ereignisse zur Einsicht hinzufügen, um weitere Korrelationen herzustellen und versteckte Verbindungen sowie verdächtige Aktivitäten aufzudecken.
  1. Wählen Sie auf dem Related events-Panel einen Hostnamen aus, um die Ereignisse anzuzeigen, wenn mehrere Hosts verfügbar sind.
    Hinweis
    Hinweis
    Nur die Ereignisse, die innerhalb von zwei Stunden vor und nach der Workbench-Warnung aufgetreten sind, können angezeigt werden.
  2. Klicken Sie auf der Registerkarte Observed Attack Techniques oder Aktivitäten auf add_event_to_insight=20250818030125.png, um ein Ereignis zur aktuellen Erkenntnis hinzuzufügen.
  3. Bestätigen Sie die Informationen im Add Event to Workbench Insight-Panel und klicken Sie auf Hinzufügen.