Ansichten:

Offene Fälle in TrendAI Vision One™ anzeigen und die Fälle Ihrer Organisation in Workflow and AutomationCase Management verwalten.

Case Management zeigt TrendAI Vision One™-Fälle an, die von Ihrem Security Operations Center (SOC)-Team, Informationstechnologie (IT)-Team oder Risikomanager eröffnet wurden. TrendAI Vision One™-Fälle basieren auf Vorfällen, Ereignissen und Warnungen in Verwaltung der Cyber-Risikoexposition, Security Playbooks (unter Verwendung des Automated Response Playbook), Workbench und Compliance Management. Case Management schließt automatisch TrendAI Vision One™Fälle, die 60 Tage lang inaktiv sind.
Wenn TrendAI Vision One™ Warnungen oder Erkenntnisse korreliert und Erkenntnisse zusammenführt, werden auch alle zugehörigen Fälle zusammengeführt. Beim Zusammenführen wird ein Fall geschlossen und alle Notizen, Besitzer und die Historie in den verbleibenden Fall verschoben.
In der folgenden Tabelle sind Aktionen aufgeführt, die in Case Management verfügbar sind.
Aktion
Beschreibung
Fall-Daten finden und filtern
Verwenden Sie diese Optionen, um bestimmte Fälle zu finden.
  • Case status: Die aktuelle Phase, in der sich der Fall befindet
    • To do (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png)
    • Wird ausgeführt (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png)
    • Geschlossen (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png)
  • Findings: Das Untersuchungsergebnis (nur verfügbar für Fälle, die in Workbench erstellt wurden)
    • True positive: Die Untersuchung bestätigte das Auftreten von Bedrohungen oder bösartigen Aktivitäten.
    • False positive: Keine bösartige Aktivität gefunden.
    • Benign true positive: Die Untersuchung bestätigte das Vorhandensein einer echten Bedrohung, die kein Risiko für die Organisation darstellt. Gutartige echte Positive sind das Ergebnis von Penetrationstests oder anderen legitimen Aktivitäten in Ihrer Umgebung.
    • Beachtenswert: TrendAI Vision One™ hat ungewöhnliche Aktivitäten festgestellt, die eine weitere Untersuchung erfordern.
    • -: Die Untersuchung hat keine Ergebnisse.
  • Besitzer: Die dem Fall zugewiesenen Benutzerkonten.
  • Case search: Findet schnell Fälle, die mit eingegebenen Phrasen oder Begriffen übereinstimmen
  • Add filter: Zusätzliche Fallfilter
    • Associated items
    • Closed by
    • !!Created!!
    • Created by
    • Zuletzt aktualisiert
    • Objektname
    • Object types
      • AMSI script
      • CLI-Befehl
      • Cloud collaboration app
      • Cloud identity
      • Desktop
      • Domäne
      • E-Mail-Adresse
      • E-Mail-Nachricht
      • Datei
      • IAM permission
      • IP-Adresse
      • Malware
      • Priorität
      • Prozess
      • Registrierung
      • Sensitive data
      • Server
      • Text
      • Typ
      • URL
      • Benutzerkonto
    • Object value
    • !!Priority!!: Die Priorität, die ein Besitzer dem Fall zugewiesen hat.
    • SLA status: Ob der Fall die Service-Level-Vereinbarung verletzt hat
    • Typ: Die Art des Falls
Zusätzlich zu den oben genannten Filtern können Sie die Spalten, die Sie in Case Management sehen, anpassen.
  • Case ID / Name: Die ID und der Name des Falls. Klicken Sie, um Falldetails anzuzeigen
  • !!Priority!!: Die Priorität, die ein Besitzer dem Fall zugewiesen hat.
    • P0: Höchste Priorität
    • P1: Niedrigere Priorität als P0, aber höhere Priorität als P2 und P3
    • P2: Niedrigere Priorität als P0 und P1, aber höhere Priorität als P3
    • P3: Niedrigste Priorität
  • Typ: Die Art des Falls
    • Compliance Management
    • Forensics
    • Allgemein
    • Andere
    • Risk Event
    • Workbench
  • Associated items: Verwandte Objekte wie Warnungen, Workbench-IDs, Artefakte oder externe Tickets
  • !!Created!!: Wann der Fall erstellt wurde
    • Alle
    • Letzte 24 Stunden
    • Last 3 days
    • Letzte 7 Tage
    • Letzte 30 Tage
    • Benutzerdefinierter Zeitraum
  • Created by: Der TrendAI Vision One™-Benutzer, das Playbook oder die Drittanbieter-App, die den Fall erstellt hat
  • Closed by: Der TrendAI Vision One™-Benutzer, das Playbook oder die Drittanbieter-App, die den Fall geschlossen hat.
  • Zuletzt aktualisiert: Wann der Fall zuletzt geändert wurde
    • Alle
    • Letzte 24 Stunden
    • Last 3 days
    • Letzte 7 Tage
    • Letzte 30 Tage
    • Benutzerdefinierter Zeitraum
  • SLA status
  • Case duration: The total time the case remained open
  • TTC: Verstrichene Zeit seit der Eröffnung des Falls, bevor der Fallstatus Geschlossen ist
  • TTC remaining: Verbleibende Zeit, um den Fallstatus auf Geschlossen zu setzen, bevor die Service-Level-Vereinbarung verletzt wird
  • TTR: Verstrichene Zeit zwischen der Eröffnung des Falls und der letzten erfolgreichen Antwort
  • TTR remaining: Verbleibende Zeit, um eine Reaktionsmaßnahme durchzuführen oder ein Security Playbook auszuführen, bevor die Service-Level-Vereinbarung verletzt wird
  • TTA: Verstrichene Zeit seit der Öffnung des Falls vor dem Fallstatus
  • TTA remaining: Verbleibende Zeit, um den Fallstatus auf Wird ausgeführt zu setzen, bevor die Service-Level-Vereinbarung verletzt wird
  • TTI: Verstrichene Zeit zwischen der Änderung des Fallstatus zu Wird ausgeführt und der letzten Reaktionsmaßnahme
  • Due date
Fallstatus ändern
Wählen Sie einen oder mehrere Fälle aus und klicken Sie auf Change Status, um den Fortschritt des Falls zu aktualisieren.
Für Fälle, die in Verwaltung der Cyber-Risikoexposition erstellt wurden, wird der Fall automatisch in Geschlossen geändert, wenn alle zugehörigen Risikoevents behoben, akzeptiert oder abgelehnt wurden. Wenn nicht alle Risikoevents gelöst wurden, können Sie den Status des Risikoevents ändern, wenn Sie den Fall manuell schließen.
Ändern der Fallbefunde
Wählen Sie einen oder mehrere Fälle aus und klicken Sie auf Change Findings, um die Ergebnisse des Falls zu aktualisieren.
Fallpriorität ändern
Wählen Sie einen oder mehrere Fälle aus und klicken Sie auf Change Priority, um die Priorität des Falls zu aktualisieren.
Dateien an einen Fall anhängen
Klicken Sie auf einen Fallnamen, um die Falldetails zu öffnen, und klicken Sie auf Attach Files.
Ihre Organisation kann maximal ein GB an Anhangdateien über alle Fälle im Case Management hochladen.
Erstellen Sie einen Untersuchungsbericht
Wichtig
Wichtig
Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion.
Wenn Sie generative KI in TrendAI™ Companion aktiviert haben, klicken Sie auf einen Fallnamen und gehen Sie zu TrendAI™ CompanionGenerate investigation report. TrendAI™ Companion erstellt einen Bedrohungsuntersuchungs- und Behebungsbericht für den Fall, den Sie durch Aufrufen von Dashboards and ReportsBerichte anzeigen, bearbeiten und herunterladen können.
Diese Aktion ist nur für Workbench-Fälle mit echten positiven Befunden verfügbar.
Erstellen Sie eine Fallzusammenfassung
Wichtig
Wichtig
Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion.
Wenn Sie generative KI in TrendAI™ Companion aktiviert haben, klicken Sie auf einen Fallnamen und gehen Sie zu TrendAI™ CompanionSummarize case. TrendAI™ Companion fasst alle Notizen zusammen, die im Fall seit der letzten Erstellung einer zusammengefassten Fortschrittsnotiz erstellt wurden.
Die Zusammenfassung erscheint als Eintrag unter Aktivität. Zusammengefasste Fortschrittsnotizen sind hilfreich, wenn ein Fall an einen neuen Besitzer übergeben wird.
Eigentümer zuweisen
Wählen Sie einen oder mehrere Fälle aus und klicken Sie auf Assign Owners, um Konten innerhalb Ihrer Organisation dem Fall zuzuweisen.
Das Zuweisen von Eigentümern hat die folgenden Einschränkungen:
  • Für IdP-exklusive SAML-Gruppenbenutzer:
    • Sie können nur Benutzer zuweisen, die sich angemeldet haben und noch im TrendAI Vision One™ zwischengespeichert sind.
    • Benutzerkonten kann nicht alle Benutzer in der nur-IdP-SAML-Gruppe auflisten.
  • IdP-only SAML groups und IdP-only SAML group users können keine E-Mail-Benachrichtigungen erhalten.
Änderung betroffener Assets
Für Fälle, die in Verwaltung der Cyber-Risikoexposition erstellt wurden, können Sie spezifische betroffene Assets auswählen und die Assets in einen anderen Fall verschieben oder die Assets aus dem Fall entfernen. Sie können Assets nur zwischen Fällen verschieben, die dasselbe Risikoevent betreffen.
Einen Unterfall öffnen
Suchen Sie einen Fall, klicken Sie auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png und wählen Sie Open Related Case. Der neue Fall wird automatisch mit dem Hauptfall verknüpft.
Verwandte Fälle sind unabhängige Teilfälle, die Ihnen die Flexibilität geben, eine komplexe Untersuchung in kleine Teilfälle zu unterteilen. Verwandte Fälle liefern weitere Informationen für den Hauptfall.
Fügen Sie einen Forensics-Arbeitsbereich zu einem Unterfall hinzu
Wählen Sie einen Forensics-Fall aus und klicken Sie auf Create Forensics Workspace.
Der neue Forensics-Arbeitsbereich wird automatisch dem zugehörigen Fall als zugeordnetes Element hinzugefügt. Der Forensics-Arbeitsbereich umfasst alle Endpunkte, die Teil des Wirkungsspektrums einer Workbench-Warnung/-Einsicht sind.
Zusätzliche Benachrichtigungen bearbeiten
Für Fälle, die in Verwaltung der Cyber-Risikoexposition erstellt wurden, klicken Sie auf edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png, um die Beschreibung zu öffnen und E-Mail-Adressen anzugeben, die Benachrichtigungen erhalten sollen.
Integration mit ServiceNow aktivieren
Klicken Sie auf gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.pngIntegrationseinstellungen, um mit ServiceNow zu integrieren.
Die Integration mit ServiceNow ermöglicht es Ihnen, Case Management-Tickets an ServiceNow ITSM zu senden, um sie im ServiceNow-Portal zu verwalten. Nur unterstützt für Workbench-Fälle, die aus Automated Response Playbooks erstellt wurden.
Spalten anpassen
Klicken Sie auf columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg, um auszuwählen, welche Spalten im Case Management angezeigt werden.
Daten aktualisieren
Klicken Sie auf refresh=5bd75452-c2fb-43ed-90e6-7b552fdc5dd2.png, um die neuesten Fallinformationen abzurufen.
Fälle in eine CSV-Datei exportieren
Wählen Sie die Fälle aus und klicken Sie auf Exportieren, um einen Bericht über die Falldaten zu erstellen. Case Management speichert die Daten in einer durch Kommas getrennten Wertedatei (CSV). Sie können die Datei auch in der Berichte-App anzeigen und herunterladen.
Einen Fallauftrag erstellen
Öffnen Sie einen Fall und erstellen Sie eine Aufgabe, um die Arbeit zu verfolgen, die für den Fall abgeschlossen werden muss. Konfigurieren Sie die folgenden Felder:
  • Task name: Der Name der Aufgabe
  • Besitzer: Die dem Auftrag zugewiesenen Benutzerkonten
    Sie können einer Aufgabe einen oder mehrere Verantwortliche zuweisen.
  • Beschreibung: Zusätzliche Details zur Aufgabe
  • Status: Die aktuelle Phase der Aufgabe
    • Alle
    • To do
    • Wird ausgeführt
    • Geschlossen
    • Ablehnen
  • Due date: Wann die Aufgabe erledigt werden muss
Aufgaben finden und filtern
Verwenden Sie diese Optionen, um bestimmte Aufgaben zu finden.
  • Status: Die aktuelle Phase der Aufgabe
    • To do
    • Wird ausgeführt
    • Geschlossen
    • Ablehnen
  • Besitzer: Die dem Auftrag zugewiesenen Benutzerkonten
    Sie können einer Aufgabe einen oder mehrere Verantwortliche zuweisen.
    • Alle
    • Nicht zugewiesen
    • Specific owners
  • Task name: Sucht nach Aufgaben, die den eingegebenen Phrasen oder Begriffen entsprechen
Fallaufgabe anzeigen und bearbeiten
Verwenden Sie diese Optionen, um bestimmte Aufgaben zu finden.
Aufgaben in großen Mengen aktualisieren
Wählen Sie eine oder mehrere Aufgaben aus, um die folgenden Felder gleichzeitig zu aktualisieren:
  • Due date
  • Status
  • Owners
Sie können Aufgaben nicht in großen Mengen löschen.
Aufgaben nach Datum filtern
Verwenden Sie die Datumsfilter, um Aufgaben nach ihrem Fälligkeitsdatum oder Erstellungsdatum zu finden.
Nach einer Aufgabe suchen
Verwenden Sie die Suchleiste, um Aufgaben schnell anhand der folgenden Kriterien zu finden:
  • Task name
  • Task ID
Aufgaben anzeigen, die mit einem Fall verbunden sind
Erweitern Sie einen Fall, um die damit verbundenen Aufgaben anzuzeigen.
Zugehörige Informationen