Ansichten:

Nutzen Sie Arbeitsbereiche, um Ihren Vorfalluntersuchungsprozess zu optimieren.

Arbeitsbereiche ermöglichen es Ihnen, Beweise zu organisieren, Untersuchungstimeline zu erstellen und Endpunkte in Ihrer Umgebung zu priorisieren.
Wichtig
Wichtig
Arbeitsbereiche werden 30 Tage nach der Erstellung automatisch geschlossen. Einmal geschlossen:
  • Arbeitsbereiche werden schreibgeschützt.
  • Beweispakete werden aus den Arbeitsbereichen entfernt. Sie können weiterhin auf Untersuchungspakete und Abfrageergebnisse zugreifen.
  • Beweisberichte sind nicht mehr verfügbar.
Arbeitsbereiche werden 180 Tage nach der Erstellung dauerhaft gelöscht.
In der folgenden Tabelle sind die in den Arbeitsbereichen verfügbaren Aktionen aufgeführt.
Aktion
Beschreibung
Arbeitsbereichsinformationen anzeigen
Die Tooltip-Nachricht für Informationssymbol enthält die folgenden Informationen:
  • Wenn der Arbeitsbereich Teil eines Falls im Case Management ist:
    • Fall: Der Fall, der mit dem Arbeitsbereich verknüpft ist.
    • Letzte Synchronisation mit dem Fall: Das letzte Mal, als der Arbeitsbereich Informationen aus dem Fall erhalten hat.
  • Schließdatum: Forensics schließt einen Arbeitsbereich automatisch 30 Tage nach der Erstellung.
  • Löschdatum: Forensics löscht einen Arbeitsbereich automatisch 180 Tage nach der Erstellung.
Endpunkte hinzufügen
Fügen Sie Endpunkte aus der Endpoint Inventory hinzu, indem Sie auf Add Endpoints klicken. Sie können Endpunkte nach Risikobewertung filtern, um Endpunkte in einem bestimmten Bereich anzuzeigen.
Wichtig
Wichtig
Forensics unterstützt derzeit keine macOS-Endpunkte.
Endpunkte filtern
Verwenden Sie das Suchfeld und die Dropdown-Menüs, um spezifische Endpunkte im Arbeitsbereich zu finden.
Einen Endpunkt untersuchen
Für jeden Endpunkt können Sie:
  • Klicken Sie auf den Endpunktname, um den Beweisbericht in einem anderen Tab anzuzeigen.
  • Klicken Sie auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png und wählen Sie Remove Endpoint from a Workspace, wenn der Endpunkt für diesen Arbeitsbereich nicht mehr relevant ist.
  • Klicken Sie auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png und wählen Sie View Endpoint in XDR Data Explorer, um den XDR-Daten-Explorer in einem neuen Tab zu öffnen.
  • Klicken Sie auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png und wählen Sie View Endpoint in Observed Attack Techniques, um Beobachtete Angriffstechniken in einem neuen Tab zu öffnen.
Pakete hinzufügen
Klicken Sie auf Add Evidence, um Beweispakete aus dem Evidence Archive-Tab hinzuzufügen.
Geben Sie Trend Vision One etwas Zeit, um die Pakete zu verarbeiten und sie zum Arbeitsbereich hinzuzufügen. Forensics erstellt Nachweisberichte für jedes hinzugefügte Paket.
Beweise sammeln
Beweise von den zum Arbeitsbereich hinzugefügten Endpunkten sammeln:
  1. Wählen Sie einen oder mehrere Endpunkte aus der Liste aus.
  2. Klicken Sie auf Collect Evidence.
  3. Wählen Sie das Betriebssystem aus.
    Forensics fügt die Beweise dem Arbeitsbereich hinzu.
Beweise-Pakete anzeigen, löschen und herunterladen
Klicken Sie auf den Erweiterungspfeil (simulationsRightArrow=20220525102311.png) links von einem Endpunkt, um die zugehörigen Beweispakete anzuzeigen. Für jedes Paket können Sie:
  • Klicken Sie auf die Paket-ID, um den Nachweisbericht in einem anderen Tab anzuzeigen.
  • Klicken Sie auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png und wählen Sie Delete Evidence from a Workspace, um das Paket zu entfernen.
  • Klicken Sie auf options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png und wählen Sie Paket herunterladen, um eine lokale Kopie des Beweispakets zu erstellen.
Beweise im Arbeitsbereich durchsuchen
Klicken Sie auf Evidence Search (searchPackage_icon=bc64049a-6ccc-46c1-bc44-92c79081dd42.png), um nach Beweisen in allen zum Arbeitsbereich hinzugefügten Paketen zu suchen.
Detailliertes Risikoprofil anzeigen
Klicken Sie auf Details, um das detaillierte Profil für das Asset-Risiko anzuzeigen.
Im detaillierten Profil können Sie die folgenden Aktionen ausführen:
  • Klicken Sie auf Display asset risk assessment in Attack Surface Discovery, um die Bewertung in Attack Surface Discovery in einem neuen Tab anzuzeigen.
    Weitere Informationen zu Risikobewertungen finden Sie unter Mehr als nur eine Zahl: Ihre Risikobewertung erklärt.
  • Klicken Sie auf Customize criticality in Attack Surface Discovery, um die Kritikalität in Attack Surface Discovery in einem neuen Tab zu ändern.
Betroffene Endpunkte aktualisieren
Klicken Sie im Fall-Viewer auf Update Forensics Workspace, um den Arbeitsbereich mit betroffenen Endpunkten zu aktualisieren.
Wenn der Fall keinen Endpunkt mehr enthält, entfernt Trend Vision One den Endpunkt nicht automatisch. Sie können nicht betroffene Endpunkte manuell aus dem Arbeitsbereich entfernen.
Endpunkte triagieren
Identifizieren, priorisieren und verwalten Sie angegriffene Endpunkte basierend auf Schweregrad und Auswirkung. Erfahren Sie mehr
Einen Endpunkt isolieren
Wählen Sie einen oder mehrere Endpunkte aus und klicken Sie auf Endpunkt isolieren, um zu verhindern, dass sich potenziell bösartige Aktivitäten auf andere Endpunkte ausbreiten.
Nicht betroffene Endpunkte entfernen
Wählen Sie einen oder mehrere Endpunkte aus und klicken Sie auf Remove Endpoint, wenn der Endpunkt für diesen Arbeitsbereich nicht mehr relevant ist.
Arbeitsbereichbezogene Aufgaben anzeigen
Klicken Sie auf Related Tasks, um die entsprechende Task List in einem neuen Tab anzuzeigen.
Verwalten Sie den Untersuchungszeitplan
Klicken Sie auf Zeitachse (clock_icon=4b003b65-3058-4609-b2e5-a7e5b7b57973.png), um die Untersuchungszeitleiste zu öffnen.
Arbeitsbereich aktualisieren
Klicken Sie auf Aktualisierungssymbol, um die Daten für diesen Arbeitsbereich zu aktualisieren und neu anzuzeigen.