お客さまの環境で検出された個々のイベントを確認し、それがWorkbenchアラートを引き起こす可能性があるかどうかを確認してください。
Trend Vision Oneは、アラートをトリガーする検出モデルを構成する詳細に定義されたフィルターまたはカスタム検出フィルターを使用してイベントを検出します。Observed Attack
Techniques () にリストされているイベントは、WorkbenchインサイトやWorkbenchアラートを生成しない場合があります。Trend Vision Oneのデータを使用してWorkbenchインサイトをさらに調査し、個々の検出を評価することができます。
Observed Attack Techniques で実行できる処理は次のとおりです。
|
処理
|
説明
|
||
|
フィルターイベントデータ
|
ドロップダウンメニューを使用して、[イベントの重大度]および最後の[検出]時間でフィルタリングします。
検索ボックスを使用して、エンドポイントまたはコンテナ名でインサイトをフィルタリングすることもできます。
|
||
|
フィルターからクエリを作成
|
指定したフィルターに基づいてXDR Data Explorerでクエリを作成するには、[Query in XDR Data Explorer]をクリックしてください。
|
||
|
検出フィルタをリストに表示しない
|
特定の検出フィルタで不要な検出を多数受信した場合は、特定のフィルタのデータを一時的に非表示にすることができます。
不要な[検出フィルタ]名を右クリックし、[値を非表示にする]をクリックします。すべての不要なフィルターを[非表示のオブジェクト]リストに追加した後、[適用]をクリックしてリストを再読み込みします。
|
||
|
XDR Data Explorerでイベントの詳細を表示
|
イベントを見つけ、行の末尾にあるオプションアイコン (
 ) をクリックし、[XDR Data Explorerでイベントを表示]を選択して、新しいブラウザタブでXDR Data Explorerを開きます。 |
||
|
ケースにイベントを追加
|
イベントを見つけ、行の最後にあるオプションアイコン (
) をクリックし、[ケースに追加]を選択して、そのイベントをケースのエビデンスとして追加します。 |
||
|
イベントをWorkbenchインサイトに追加
|
イベントを見つけて右クリックし、[Add to Workbench Insight]を選択します。
イベントをWorkbenchインサイトに追加すると、影響範囲やハイライトされたオブジェクトを含むインサイト情報が更新されます。
|
||
|
関連付けられたエンティティに関する詳細情報の表示
|
関連エンティティの詳細情報を表示するには、[詳細なプロファイルを表示]アイコン (
 ) をクリックしてください。 |
||
|
詳細を表示
|
任意の行を展開すると、検出および関連付けられたエンティティに関連する詳細が表示されます。
|
||
|
Trend Companionとチャットする
|
|
をクリックして