Ansichten:

Überprüfen Sie die einzelnen Ereignisse, die in Ihrer Umgebung erkannt wurden und möglicherweise einen Workbench-Alarm auslösen.

TrendAI Vision One™ detects events through use of granular predefined or custom detection filters that make up the detection models that trigger alerts. Events listed in Observed Attack Techniques (Agentic SIEM and XDRObserved Attack Techniques) might not generate a Workbench insight or Workbench alert. You can use the data in TrendAI Vision One™ to further investigate Workbench insights and evaluate individual detections.
Die folgenden Tabellenaktionen sind in Observed Attack Techniques verfügbar:
Aktion
Beschreibung
Ereignisdaten filtern
Verwenden Sie die Dropdown-Menüs, um nach Event severity und letzter Erkannt-Zeit zu filtern.
Hinweis
Hinweis
Klicken Sie auf Add filter und wählen Sie eine Option aus dem Dropdown-Menü, um nach Asset group, Custom tag, Data source / processor, Detection filter, Endpoint group, Tactic ID oder Technique ID zu filtern.
Sie können auch das Suchfeld verwenden, um Einblicke nach Endpunkt- oder Containername zu filtern.
Erstellen Sie eine Abfrage aus Filtern
Um eine Abfrage im XDR-Daten-Explorer basierend auf Ihren angegebenen Filtern zu erstellen, klicken Sie auf Query in XDR Data Explorer.
Erkennungsfilter aus der Liste ausblenden
Wenn Sie viele Erkennungen bei bestimmten Erkennungsfiltern erhalten, die Sie nicht interessieren, können Sie die Daten für bestimmte Filter vorübergehend ausblenden.
Klicken Sie mit der rechten Maustaste auf den unerwünschten Detection filter-Namen und wählen Sie Hide Value. Nachdem Sie alle unerwünschten Filter zur Hidden objects-Liste hinzugefügt haben, klicken Sie auf Übernehmen, um die Liste neu zu laden.
Hinweis
Hinweis
Sie können die Hidden objects-Liste nicht speichern. Wenn Sie die Observed Attack Techniques verlassen, wird die Liste zurückgesetzt.
Ereignisdetails in XDR Data Explorer anzeigen
Suchen Sie ein Ereignis, klicken Sie auf das Optionssymbol (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png) am Ende der Zeile und wählen Sie View Event in XDR Data Explorer, um XDR Data Explorer in einem neuen Browser-Tab zu öffnen.
Ereignis zu Workbench Insight hinzufügen
Suchen Sie ein Ereignis und klicken Sie mit der rechten Maustaste darauf, dann wählen Sie Add to Workbench Insight.
Das Hinzufügen von Ereignissen zu Workbench Insights aktualisiert die Einsichts-Informationen, einschließlich des Wirkungsausmaßes und des hervorgehobenen Objekts.
Ereignis zu einem allgemeinen Fall hinzufügen
Klicken Sie auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png, um ein Ereignis auszuwählen, und wählen Sie Add event to a general case, um das Ereignis als Beweis in einem Fall hinzuzufügen.
Detaillierte Informationen zu einer zugehörigen Entität anzeigen
Klicken Sie auf das Show Detailed Profile-Symbol (details_icon=f45ada04-b746-40a7-a5f4-2166c059213c.png), um detaillierte Informationen über die zugehörige Entität anzuzeigen.
Weitere Details anzeigen
Erweitern Sie eine beliebige Zeile, um weitere Details zur Erkennung und den zugehörigen Entitäten anzuzeigen.
Chat mit TrendAI™ Companion
  • Klicken Sie auf TrendAICompanionIcon=d358490c-a35e-44ad-8a23-ac451629cce1.jpg, um ein Gespräch mit TrendAI™ Companion zu beginnen.
  • Klicken Sie mit der rechten Maustaste auf ein CLI-Befehls-Element (parentCmd, processCmd und objectCmd) und wählen Sie Explain Command, um mehr über die in einem Ereignis ausgeführten Befehle zu erfahren.
  • Um mehr über ein Ereignis zu erfahren, können Sie mit der rechten Maustaste auf ein Ereignis klicken oder options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png anklicken und Explain Event auswählen. TrendAI™ Companion kann Ereignisse, die nur benutzerdefinierte Filter enthalten, nicht erklären.
Zugehörige Informationen