ビュー:

Workbenchアラートをトリガーする可能性のある、環境内で検出された個々のイベントを確認します。

Trend Vision One は、アラートをトリガする検出モデルを構成する事前定義またはカスタムの詳細な検出フィルタを使用してイベントを検出します。 Trend Vision One が[ Observed Attack Techniques ] 画面にリストするイベントについては、 WorkbenchのインサイトまたはWorkbenchアラートが生成されないことがあります。 Trend Vision One アプリのデータを使用して、 Workbenchのインサイトをさらに調査し、個々の検出を評価できます。
次の表は、 Observed Attack Techniquesアプリで使用可能な処理の概要を示しています。
処理
説明
イベントデータのフィルタ
ドロップダウンリストを使用して、特定のイベントデータを検索します。
  • [リスクレベル]:トレンドマイクロのサイバーセキュリティ専門家が判断した、検出フィルタに割り当てられたリスク
    トレンドマイクロ の専門家は脅威を継続的に評価し、入手可能な最新情報に基づいて検出のリスクレベルを随時更新します。
  • [検出]: 検出の発生日時
  • [データソース/プロセッサ]: イベントを検出した製品
  • [検出フィルタ]: [検出フィルタ][戦術ID]、または [手法ID] から選択して、特定のフィルタまたはMITREデータを検索します。
検索フィールドでは、エンドポイント名またはコンテナ名で検索することもできます。
フィルタから検索クエリを作成する
指定したフィルタに基づいて検索でクエリを作成するには、 [Searchアプリでクエリを実行]をクリックします。
検出フィルタをリストに表示しない
特定の検出フィルタで不要な検出を多数受信した場合は、特定のフィルタのデータを一時的に非表示にすることができます。
不要な [検出フィルタ] の名前を右クリックし、 [値を非表示にする]をクリックします。不要なフィルタをすべて [非表示のオブジェクト] リストに追加したら、 [適用] をクリックして画面を再ロードします。
注意
注意
[非表示のオブジェクト] リストは保存できません。画面を終了すると、リストがリセットされます。
Searchアプリで予定の詳細を表示する
イベントを見つけて、オプションボタン (options.png ) をクリックし、 [イベントをSearchで表示] を選択してSearchアプリを新しいタブで開きます。
ケースにイベントを追加
イベントを見つけて、オプションボタン (options.png ) をクリックし、 [ケースに追加] を選択して、ケースのエビデンスとしてイベントを追加します。
関連付けられたエンティティに関する詳細情報の表示
[詳細なプロファイルを表示] アイコン (details-icon.png ) をクリックして [詳細なプロファイル] パネルを開きます。
詳細を表示
任意の行を展開すると、検出および関連付けられたエンティティに関連する詳細が表示されます。
Companionとチャットする
Trend Vision One - Companion と会話を開始するにはcompanion-icon.pngをクリックします。
ヒント
ヒント
  • CLIコマンド要素 ( parentCmd , processCmd 、およびobjectCmd ) をクリックし、[コマンドを説明]を選択すると、イベントで実行されたコマンドについて確認できます。
  • イベントについて学ぶには、イベントを右クリックするか、options.png をクリックして [Explain Event] を選択します。カスタムフィルターのみを含むイベントは Companion では説明できません。
関連情報