Ansichten:

Untersuchen und verstehen Sie das Ausmaß und die Schwere einer Warnung, um weitere Reaktionsmaßnahmen zu entscheiden.

Der Bildschirm All Alerts (Agentic SIEM & XDRWorkbench) zeigt alle eigenständigen Warnungen, die von Erkennungsmodellen ausgelöst wurden.
In der folgenden Tabelle sind Aktionen aufgeführt, die im Bildschirm Alert View verfügbar sind.
Aktion
Beschreibung
Einen Alarm untersuchen
Verstehen Sie das Ausmaß und die Schwere einer Warnung, um weitere Reaktionsmaßnahmen zu entscheiden.
Einen neuen Fall öffnen
Suchen Sie eine Workbench-Warnung und klicken Sie auf Open new case, um einen neuen Fall zur Bearbeitung der Warnung zu erstellen.
Wichtig
Wichtig
Das Öffnen eines Falls für eigenständige Warnungen deaktiviert die Workbench-Warnhinweisfunktion und überträgt alle zugehörigen Workbench-Hinweise in den Fall.
Sie können neue Notizen nur direkt zum Fall hinzufügen.
Alarmdetails anzeigen
Klicken Sie auf die ID einer Warnung, um die Zusammenfassung, Highlights und das beobachtbare Diagramm der Warnung anzuzeigen.
Alarmdaten filtern
Verwenden Sie die Dropdown-Menüs, um Alarmdaten nach Alarm Status, Case status im Case Management, Alarm !!Created!!-Zeit und Untersuchung Findings zu filtern.
Hinweis
Hinweis
Die folgenden Untersuchungsergebnisse sind verfügbar:
  • -: Die Untersuchung hat keine Ergebnisse.
  • Benign true positive: Die Untersuchung bestätigte das Vorhandensein einer echten Bedrohung, die kein Risiko für die Organisation darstellt. Gutartige echte Positive sind das Ergebnis von Penetrationstests oder anderen legitimen Aktivitäten in Ihrer Umgebung.
  • False positive: Keine bösartige Aktivität gefunden.
  • Beachtenswert: Trend Vision One hat ungewöhnliche Aktivitäten festgestellt, die eine weitere Untersuchung erfordern.
  • True positive: Die Untersuchung bestätigte das Auftreten von Bedrohungen oder bösartigen Aktivitäten.
Klicken Sie auf Add filter und wählen Sie eine Option aus dem Dropdown-Menü, um nach Asset group, Custom tag, Criticality, Data source / processor, Endpoint group, Model name, Model type und Owners zu filtern.
Sie können auch das Suchfeld verwenden, um Alarmdaten zu filtern.
Ansicht ändern
Ändern Sie die Ansicht, indem Sie eine der folgenden Optionen aus dem !!View!!-Dropdown-Menü auswählen:
  • !!All!!: Zeigt alle Warnungen an, die den Filterkriterien entsprechen
  • Group by
    • Modell: Gruppiert die Warnungen nach dem Namen des Erkennungsmodells
    • Endpunkt: Gruppiert die Warnungen nach dem Endpunktname
    Tipp
    Tipp
    Klicken Sie auf den rechten Pfeil (Workbench_right_arrow=GUID-086A3484-09C5-4182-8C88-8B5D59C8E61F=1=de-de=Low.png) jeder Zeile, um die nach einem bestimmten Modell oder Endpunktname gruppierten Warnungen zu erweitern.
Alarmstatus ändern
Wählen Sie eine oder mehrere Warnungen aus und klicken Sie auf Change Status, um den Fortschritt der Warnungen oder Untersuchungen zu aktualisieren.
Alarmmeldungen ändern
Wählen Sie eine oder mehrere Warnungen aus und klicken Sie auf Change Findings, um die Ergebnisse des Falls zu aktualisieren.
Besitzer zuweisen
Wählen Sie eine oder mehrere Warnungen aus und klicken Sie auf Assign Owner, um Konten innerhalb Ihrer Organisation den Warnungen zuzuweisen.
Warnungen über Workbench-Einblicke verschieben
Wählen Sie eine oder mehrere Warnungen aus und aktivieren Sie eine der folgenden Optionen:
  • Associate with insight: Verschiebt die Warnungen in die angegebene Workbench-Einsicht.
  • Remove from insight: Entfernt Warnungen aus ihren aktuellen Workbench-Einblicken.
Wichtig
Wichtig
  • Workbench versucht nicht mehr, die von Ihnen verschobenen Warnungen mit neuen Warnungen zu korrelieren.
  • Warnungen können nur zu einem Workbench-Einblick gehören.
Automatisierte Antwort-Playbooks anzeigen
Klicken Sie auf Automated Response Playbooks, um die im Security Playbooks verfügbaren Automatisierten Antwort-Playbooks anzuzeigen.
Zugehörige Informationen