ビュー:

Workbench は、より効果的な調査のための詳細なアラート情報を提供します。

次の表は、アラート Workbench が提供する基本情報を示しています。
要素
説明
ステータス
[ステータス]: [Workbench]でトリガされたアラートまたは調査の現在のステータス
  • Workbench_status_new=GUID-ECE0863A-AFD9-43A7-9245-9ECD4E1D18AB=1=ja-jp=Low.png[オープン]: アラートは新規であり、現在調査中ではありません。
  • Workbench_status_in_progress=GUID-E3AF045A-35FC-489C-A753-DE2960F7D022=1=ja-jp=Low.png[処理中]: アラートは調査中です。
  • Workbench_status_closed=GUID-25658551-3D98-49BC-AE83-48B6710C2065=1=ja-jp=Low.png[終了]: アラートの調査が完了しました。
Score
アラートに割り当てられた全体的な重大度
Trend Vision One は、一致した検出モデルの重大度とアラートの影響範囲に基づいてスコアを計算します。
注意
注意
2021年1月18日以降、 Trend Vision One はスコアリングモデルを調整し、最大アラートスコアを99に再定義しました。 新しいスコアリングモデルは、新しいアラートにのみ影響します。
新しいスコアリングモデルでは、一致したモデルの重大度を計算の主要な要素として使用し、影響範囲の値に特定のしきい値を定義します。
Workbench ID
アラートの一意の識別子
モデル名
検出モデルはアラートのトリガー
モデルの重大度
アラートをトリガーしたモデルに割り当てられた重大度
影響範囲
社内ネットワーク内のアラートの影響を受けるエンティティの数
データソース/プロセッサ
Workbenchアプリにデータを提供している製品
作成完了
Trend Vision One でアラートが生成された日時
検出
[検出]: アラート調査の結果。
使用可能な値:
  • [真陽性]:調査により脅威や悪意のある活動の発生が確認されました。
  • [無害の真陽性]: 調査の結果、組織にリスクを与えない真の脅威の存在が確認されました。
    良性の真陽性は、環境内での侵入テストまたはその他の正当なアクティビティの結果です。
  • [誤検出]: 不正なアクティビティは見つかりませんでした。
  • [注目すべき検出]: 通常と異なるアクティビティが検出され、さらなる調査が必要です。
  • [Other findings]:調査結果を検証するためのデータが不足しています。
ケース
アラートに割り当てられたケースのID。
所有者
アラートに割り当てられたユーザ。
関連するインサイト
Workbenchサイトアラートに関連付けられている
自動対応
アラートに関連付けられた自動対応タスクのステータス
アラートの詳細画面に表示されるアラート情報を次の表に示します。
要素
説明
ダッシュボードとシステムステータス
調査するアラートの基本情報
Threat Intelligence Sweepingモデルによってアラートがトリガーされた場合は、次の情報が表示されます。
  • [キャンペーン]: 関連する脅威キャンペーン
  • [業種]: 脅威キャンペーンが属する業界
  • [インテリジェンスソース]: 一致するインテリジェンスレポートを提供するデータソース
  • [最初の出現]: 環境内で侵入の痕跡が最初に特定された日時
  • [前回の検出]: 環境内で侵害の痕跡が最後に特定された日時
概要
アラートをトリガーしたイベントオブジェクトと、コンテキストに応じた情報が表示されます。
イベントは次の情報で構成されます。
  • 不審な動作を検出したフィルタ
  • [手法]: 検出されたMITRE手法
  • [検出]: 検出された不正プログラム
  • [データソース/プロセッサ]: Workbenchにアラートデータを送信した製品
  • [Emerging threats]: 検出に関連する新たな脅威
  • [Threat actors]: 検出に関連付けられた攻撃者
  • [Exploited CVE]: 検出されたCVEと、この脆弱性を積極的に悪用しているキャンペーンに関する追加情報
  • [不正プログラム/ツール]: アラートで検出されたツールまたは不正プログラム
  • 検出日時
  • エンドポイント、コマンド、メールメッセージ、レジストリ値など、イベントに関連するオブジェクト
    注意
    注意
    • イベントに関係するオブジェクトには、次の2種類があります。
      • 現在のフィルタをトリガした注目すべきオブジェクト
      • 影響範囲に含まれるエンティティ
    • アラートがThreat Intelligence Sweepingスイープモデルによってトリガーされた場合、 [ハイライト] セクションには、代わりに特定されたIoC、データソース/プロセッサ、および関連オブジェクトが表示されます。
タイムライン
検出日時が表示されます。
相関グラフ
アラートのより詳細なコンテキストを視覚化された形式で提供します。
[ハイライト] セクションのいずれかのイベントをクリックして、 [相関グラフ]内の特定のオブジェクトを強調表示します。
グラフ内の各ノードはオブジェクトを参照し、各リンクはあるノードと隣接ノード間の関係を反映します。
  • 各行 (observable_graph_line=GUID-4074BA53-A2FA-4435-ABD2-64D558508C9B=1=ja-jp=Low.jpg ) は、エンドポイントに関連付けられたユーザアカウントなど、2つのオブジェクト間の関連付けを表します。
  • 各矢印 (Workbench_analysis_chain_-_event=GUID-CBD67C27-A3BF-4E1C-B046-C21D9E2D42D4=1=ja-jp=Low.png ) は、2つのオブジェクト間のトランザクションの方向を示します。たとえば、メール送信者から受信者への方向などです。
  • [接続の詳細] アイコン (Workbench_alert_observable_graph_doubleheaded_arrow=GUID-20230116113939=1=ja-jp=Low.png ) は、エンドポイントとWebサイト間の接続など、2つのオブジェクト間の接続を示します。
    注意
    注意
    [接続の詳細] アイコン (Workbench_alert_observable_graph_doubleheaded_arrow=GUID-20230116113939=1=ja-jp=Low.png ) をクリックして詳細を表示します。
関連アセット
イベントに関連するアセットと通信した最新のエンドポイントおよびユーザが表示されます。