Ansichten:

Trend Vision One ermöglicht es Ihnen, benutzerdefinierte Intelligenz zu erstellen, indem Sie Ihre eigenen Berichte importieren und Daten aus Drittanbieter-Intelligenzquellen abrufen.

Die folgende Tabelle enthält die auf der Registerkarte Benutzerdefiniert verfügbaren Aktionen.
Aktion
Beschreibung
Intelligence Reports filtern
Verwenden Sie die Suche und Filter, um benutzerdefinierte Intelligence Reports zu finden:
  • Zuletzt aktualisiert: Das letzte Datum und die Uhrzeit, zu der Trend Vision One die Berichte empfangen hat
  • !!View!!: Die Option, nur bestimmte Berichte oder alle Berichte anzuzeigen
  • Quelle: Die Quelle, von der die Berichte stammen
Intelligence Reports hinzufügen
Klicken Sie auf Hinzufügen und wählen Sie, ob Sie CSV- und STIX-Dateien importieren oder Daten von Drittanbieter-Intelligence als benutzerdefinierte Intelligence Reports abrufen möchten.
Beim Importieren von CSV- und STIX-Dateien können Sie Informationen über verdächtige Objekte extrahieren, eine Risikostufe auswählen, Aktionen festlegen, die verbundene Produkte bei Erkennung anwenden, und eine Ablaufoption für die extrahierten Objekte auswählen.
Klicken Sie auf Beispiel-CSV-Datei herunterladen, um eine Beispieldatei zu erhalten.
Trend Vision One konvertiert importierte CSV-Dateien in STIX Intelligence Reports. Importierte CSV-Intelligence-Report-Dateien müssen die entsprechenden Spaltenüberschriften enthalten, darunter mindestens den Typ. Abhängig vom Typ müssen möglicherweise weitere Felder angegeben werden. Siehe erforderliche Felder und unterstützte Indikatortypen für CSV-Intelligence-Report-Dateien.
STIX-Dateien müssen mindestens einen Indikatortyp-STIX-Objekt für einen erfolgreichen Import enthalten.
Extrahiere verdächtige Objekte aus Intelligence Reports
Wählen Sie einen oder mehrere Intelligence Reports aus und klicken Sie auf Extract Suspicious Objects. Schließen Sie die Risikostufe, die Aktion und die Ablauf-Einstellungen ab und klicken Sie dann auf Absenden.
Intelligence Reports löschen
Wählen Sie einen oder mehrere Intelligence Reports aus und klicken Sie auf Löschen.
Zusätzliche Maßnahmen ergreifen
Klicken Sie am Ende der Zeile auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png und wählen Sie die Aktion aus, die auf diesen Intelligence-Bericht angewendet werden soll:
  • Download STIX Intelligence Report: Klicken Sie, um den Bericht lokal in eine STIX-Datei herunterzuladen.
  • Start Sweeping: Klicken Sie, um eine manuelle Überprüfung zu starten, die Ihre Umgebung nach Bedrohungsindikatoren durchsucht.
  • Configure Auto Sweeping: Klicken Sie, um zu aktivieren und den Zeitraum für das automatische Durchsuchen des aktuellen Berichts festzulegen, und klicken Sie dann auf Absenden.
  • Extract Suspicious Objects: Klicken Sie, um verdächtige Objekte aus dem aktuellen Bericht zu extrahieren. Beenden Sie die Risikostufe, die Aktion und die Ablauf-Einstellungen und klicken Sie auf Absenden.
  • Start Sweeping (STIX-Shifter): Klicken Sie, um eine manuelle Suchaufgabe auszulösen, die andere von Ihnen in Third-Party Integrations konfigurierte Datenquellen nach Bedrohungsindikatoren mit STIX-Shifter durchsucht.
    Weitere Informationen zu den STIX-Shifter-Verbindungseinstellungen finden Sie unter Third-Party Integrationen.
Überprüfen Sie die Anzahl der Indikatoren und Übereinstimmungen
Unter Indicators for sweeping überprüfen Sie die Anzahl der Indikatoren, die aus dem Geheimdienstbericht für das Scannen verwendet werden können.
Unter Matched sweeps überprüfen Sie die Anzahl der Aufgaben, die Indikatorübereinstimmungen haben, und die Gesamtzahl der Sweep-Aufgaben. Zum Beispiel bedeutet die Nachricht , dass eine Sweep-Aufgabe Indikatorübereinstimmungen unter insgesamt sieben Sweep-Aufgaben hat.
Die Nachricht 0 out of 0 zeigt an, dass keine Sweep-Aufgabe ausgelöst wurde.
Trend Vision One definiert einen 180-tägigen Datenaufbewahrungszeitraum für die Verlauf der Bereinigungsaufgaben. Die Nachricht unter Matched sweeps wird auf 0 out of 0 zurückgesetzt, sobald der Aufbewahrungszeitraum abläuft.
Details der Kehraufgabe anzeigen
Klicken Sie auf run_icon=cbe6ecd0-17e8-4e04-bef3-4efe4eb9c7e5.png neben der Zeile, um die Sweep-Aufgaben zu erweitern und grundlegende Informationen zu jeder Aufgabe zu überprüfen.
Um Aufgaben mit Indikatorübereinstimmungen weiter zu erkunden, gehen Sie wie folgt vor:
  • Klicken Sie auf die Links unter Related links, um Workbench-Warnungen zu öffnen oder Sweep-Ergebnisse herunterzuladen.
  • Klicken Sie auf details_icon=f45ada04-b746-40a7-a5f4-2166c059213c.png, um die übereinstimmenden Indikatoren und zugehörigen Entitäten der Aufgaben anzuzeigen.

CSV-Format-Anforderungen

Pflichtfelder

Feld
Beschreibung
Format / Datentyp
Beispiel
Typ
Der Typ des Bedrohungsindikators. Unterstützte Werte umfassen url, domain, ip, sha1, sha256, md5, FileName, Benutzer/Konto und Befehlszeile.
Zeichenfolge
URL
Objekt
Der Indikatorwert, der dem Typ entspricht.
Zeichenfolge
https://example.com/
Beschreibung
Weitere Informationen zu dem Indikator.
Zeichenfolge
Infektionsindikatoren (Indicators of Compromise, IOCs) hinzugefügt von Swimlane
Gültig ab
Der Zeitpunkt, ab dem dieser Indikator als wertvolle Information betrachtet werden sollte.
ISO-8601-Datumszeit
2025-08-19T02:25:24Z

Unterstützte Indikatortypen

Typ
Beschreibung
Beispielformat
URL
Vollständige URL
https://example.com/path?a=1#frag
Domäne
Domänenname
beispiel.com
ip
IPv4- oder IPv6-Adresse
192.0.2.10
2001:db8:1234:5678::1
sha1
SHA-1-Datei-Hash
40-hex Zeichen
sha256
SHA-256-Datei-Hash
64-hex-Zeichen
md5
MD5-Datei-Hash
32-hex-Zeichen
filename
Dateiname
malware.exe
Benutzer/Konto
Benutzername oder Kontoidentifikator
trendmicro
Befehlszeile
Befehlszeilenzeichenfolge
add GlobalSign.cer -c -s -r localMachine Root$