Ansichten:

Überprüfen Sie die einzelnen Ereignisse, die in Ihrer Umgebung erkannt wurden und möglicherweise einen Workbench-Alarm auslösen.

Trend Vision One erkennt Ereignisse durch die Verwendung von granularen vordefinierten oder benutzerdefinierten Erkennungsfiltern, die die Erkennungsmodelle bilden, die Warnungen auslösen. Ereignisse, die in Observed Attack Techniques (Agentic SIEM & XDRObserved Attack Techniques) aufgeführt sind, erzeugen möglicherweise keine Workbench-Einsicht oder Workbench-Warnung. Sie können die Daten in Trend Vision One verwenden, um Workbench-Einsichten weiter zu untersuchen und einzelne Erkennungen zu bewerten.
In der folgenden Tabelle werden die Aktionen beschrieben, die in Observed Attack Techniques verfügbar sind.
Aktion
Beschreibung
Ereignisdaten filtern
Verwenden Sie die Dropdown-Menüs, um nach Event severity und der letzten Erkannt-Zeit zu filtern.
Hinweis
Hinweis
Klicken Sie auf Add filter und wählen Sie eine Option aus dem Dropdown-Menü, um nach Asset group, Custom tag, Data source / processor, Detection filter, Endpoint group, Tactic ID oder Technique ID zu filtern.
Sie können auch das Suchfeld verwenden, um Einblicke nach Endpunkt- oder Containername zu filtern.
Erstellen Sie eine Abfrage aus Filtern
Um eine Abfrage im XDR-Daten-Explorer basierend auf Ihren angegebenen Filtern zu erstellen, klicken Sie auf Query in XDR Data Explorer.
Erkennungsfilter aus der Liste ausblenden
Wenn Sie viele Erkennungen bei bestimmten Erkennungsfiltern erhalten, die Sie nicht interessieren, können Sie die Daten für bestimmte Filter vorübergehend ausblenden.
Klicken Sie mit der rechten Maustaste auf den unerwünschten Detection filter-Namen und wählen Sie Hide Value. Nachdem Sie alle unerwünschten Filter zur Hidden objects-Liste hinzugefügt haben, klicken Sie auf Übernehmen, um die Liste neu zu laden.
Hinweis
Hinweis
Sie können die Hidden objects-Liste nicht speichern. Wenn Sie die Observed Attack Techniques verlassen, wird die Liste zurückgesetzt.
Ereignisdetails in XDR Data Explorer anzeigen
Suchen Sie ein Ereignis, klicken Sie auf das Optionssymbol (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png) am Ende der Zeile und wählen Sie View Event in XDR Data Explorer, um XDR Data Explorer in einem neuen Browser-Tab zu öffnen.
Ereignis zum Fall hinzufügen
Suchen Sie ein Ereignis, klicken Sie auf das Optionssymbol (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png) am Ende der Zeile und wählen Sie Add to Case, um das Ereignis als Beweis für einen Fall hinzuzufügen.
Ereignis zu Workbench Insight hinzufügen
Suchen Sie ein Ereignis und klicken Sie mit der rechten Maustaste darauf, dann wählen Sie Add to Workbench Insight.
Das Hinzufügen von Ereignissen zu Workbench Insights aktualisiert die Einsichts-Informationen, einschließlich des Wirkungsausmaßes und des hervorgehobenen Objekts.
Detaillierte Informationen zu einer zugehörigen Entität anzeigen
Klicken Sie auf das Show Detailed Profile-Symbol (details_icon=f45ada04-b746-40a7-a5f4-2166c059213c.png), um detaillierte Informationen über die zugehörige Entität anzuzeigen.
Weitere Details anzeigen
Erweitern Sie eine beliebige Zeile, um weitere Details zur Erkennung und den zugehörigen Entitäten anzuzeigen.
Chat mit Trend Companion
  • Klicken Sie auf newCompanionIcon=GUID-20240819112525.jpg, um ein Gespräch mit Trend Companion zu beginnen.
  • Klicken Sie mit der rechten Maustaste auf ein CLI-Befehls-Element (parentCmd, processCmd und objectCmd) und wählen Sie Explain Command, um mehr über die in einem Ereignis ausgeführten Befehle zu erfahren.
  • Um mehr über ein Ereignis zu erfahren, können Sie mit der rechten Maustaste auf ein Ereignis klicken oder options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png anklicken und Explain Event auswählen. Trend Companion kann Ereignisse, die nur benutzerdefinierte Filter enthalten, nicht erklären.
Zugehörige Informationen