Einen Alarm untersuchen

Prozedur

1. Gehen Sie in der Workbench-App zu All Alerts.
2. Klicken Sie auf den Workbench ID der Warnung, die Sie untersuchen möchten.
3. Überprüfen und analysieren Sie auf dem Bildschirm mit den Alarmdetails die bereitgestellten Alarminformationen.
   1. Im Abschnitt Übersicht führen Sie eine der folgenden Aktionen aus:
      • Überprüfen Sie die Informationen zum übereinstimmenden Modell.
      • Erfahren Sie mehr über die Entitäten, die von der Warnung betroffen sind, indem Sie auf jedes Symbol neben Impact scope klicken.
      • Ändern Sie den Status des Alarms oder der Untersuchung, indem Sie auf das Statussymbol klicken.
      • Fügen Sie Notizen zum aktuellen Alarm oder zur Untersuchung hinzu oder überprüfen Sie die vorhandenen Notizen, indem Sie auf das Hinweise-Symbol () klicken.
      • Führen Sie automatisierte Antwort-Playbooks für den Alarm aus, indem Sie auf Execute playbook klicken.

        Wichtig Um eine automatisierte Reaktion auf eine Warnung zu starten, konfigurieren Sie zuerst die Automatisierte Antwort-Playbooks.

   2. Im Abschnitt Highlights führen Sie eine der folgenden Aktionen aus:
      Der Abschnitt Highlights listet die spezifischen Erkennungsfilter auf, die den Alarm ausgelöst haben. Erkennungsmodelle verwenden Filter, um verdächtige Verhaltensweisen zu erkennen, die mit MITRE-Techniken und gemeldeten Bedrohungsindikatoren übereinstimmen. Jedes Ereignis im Abschnitt Highlights beginnt mit dem Namen eines ausgelösten Erkennungsfilters.

      • Um mehr über eine MITRE-Technik zu erfahren, klicken Sie auf den zugehörigen Link neben der Technik.
      • Um mehr über ein Ereignis und die Beziehung zwischen Objekten zu erfahren, klicken Sie auf eines der Ereignisse, um die spezifischen Objekte im Abschnitt Observable Graph hervorzuheben.
      • Um eine neue Abfrage mit der Ereignis-UUID im XDR-Daten-Explorer zu erstellen, klicken Sie auf Search Event UUID.
      • Um das Kontextmenü zu öffnen, klicken Sie mit der rechten Maustaste auf ein Objekt und wählen Sie eine der verfügbaren Aktionen aus.
        Weitere Informationen finden Sie unter Schritt 3.

        Hinweis Das Kontextmenü variiert je nach ausgewähltem Objekt und zeigt nur die verfügbaren Aufgaben für das ausgewählte Objekt an.

   3. Im Abschnitt Observable Graph führen Sie eine der folgenden Aktionen aus:
      • Klicken Sie auf , um ein Gespräch mit Trend Companion zu beginnen.
        Während der Alarmuntersuchungen kann Trend Companion den auf Ihrem Bildschirm angezeigten Alarm erklären. Sie können Eingabeaufforderungen wie Provide an explanation of this Workbench alert verwenden, um Trend Companion zu bitten, einen Workbench-Alarm zu erklären.

        Tipp Klicken Sie auf Add to Note, um eine Antwort zu den Alarmnotizen hinzuzufügen.

      • Um die zugehörigen Knoten eines einzelnen Knotens zu überprüfen, klicken Sie auf den Knoten, der Sie interessiert.
      • Um die Zuordnung und alle in einer Knotengruppe enthaltenen Objekte zu überprüfen, klicken Sie auf den Knoten, der mit der Gesamtanzahl der gruppierten Objekte markiert ist, und sehen Sie sich die Details im erscheinenden Seitenbereich an.

        Hinweis Objekte desselben Typs werden nur dann zusammengefasst, wenn sie dieselbe Zuordnung teilen.

      • Um einen Knoten in die gewünschte Richtung zu verschieben, ziehen Sie den Knoten im Diagramm.
      • Um hinein- oder herauszuzoomen, klicken Sie auf die Symbole in der unteren rechten Ecke.
4. Nachdem Sie ein interessantes Objekt identifiziert haben, klicken Sie mit der rechten Maustaste auf das Objekt, um das Kontextmenü in Highlights oder Observable Graph zu öffnen, das es Ihnen ermöglicht, eine erweiterte Analyse durchzuführen oder, falls verfügbar, direkt zu handeln.
   Weitere Informationen finden Sie unter Kontextmenü und Erweiterte Analyseaktionen.

   Hinweis Das Kontextmenü variiert je nach ausgewähltem Objekt und zeigt nur die verfügbaren Aufgaben für das ausgewählte Objekt an.