ビュー:

検出モデルによってアラートがトリガーされたら、アラートの詳細にドリルダウンして詳細な調査を開始できます。

手順

  1. Workbench [app, go to] [すべてのアラート]
  2. 調査するアラートの [Workbench ID] リンクをクリックします。
  3. アラートの詳細画面で、提供されたアラート情報
    1. 概要セクションで、次のいずれかの操作を実行します。
      • 一致したモデルの情報を確認します。
      • [影響範囲]の横にある各アイコンをクリックして、アラートの影響を受けるエンティティの詳細を確認します。
      • ステータスアイコンをクリックして、アラートまたは調査のステータスを変更します。
      • [注意] アイコン (alert-notes.png )。
      • [Playbookを実行]をクリックして、アラートの自動応答 Playbook を実行します。
        重要
        重要
        アラートに対する自動対応を開始するには最初に自動応答Playbookの設定
    2. ハイライトセクションで、次のいずれかの操作を実行します。
      [ハイライト] セクションには、アラートをトリガーした特定の検出フィルタが一覧表示されます。検出モデルでは、フィルタを使用して、MITREの手法とレポートされた脅威インジケータに一致する不審な動作を検出します。 [ハイライト] セクションのすべてのイベントは、トリガーされた検出フィルタの名前で始まります。
      • MITRE手法の詳細については、手法の横にある関連リンクをクリックしてください。
      • イベントとオブジェクト間の関係について調べるには、いずれかのイベントをクリックして、 [相関グラフ] セクションで特定のオブジェクトを強調表示します。
      • [検索] アプリでイベントUUIDを使用して新しい検索クエリを作成するには、 [SearchイベントUUID]をクリックします。
      • コンテキストメニューを開くには、オブジェクトを右クリックして、使用可能な処理を選択します。
        詳細については、手順3を参照してください。
        注意
        注意
        コンテキストメニューは選択したオブジェクトによって異なり、選択したオブジェクトで使用可能なタスクのみが表示されます。
    3. [相関グラフ] セクションで、次のいずれかの操作を実行します。
      • Trend Vision One - Companion と会話を開始するにはcompanion-icon.pngをクリックします。
        アラートの調査中、 Companionは画面に表示されたアラートについて説明することができます。 [このWorkbenchアラートの説明を入力してください] などのプロンプトを使用して、 CompanionにWorkbenchアラートの説明を求めることができます。
        ヒント
        ヒント
        アラートメモに対応を追加するには、 [メモに追加] をクリックします。
      • 1つのノードの関連ノードを確認するには、目的のノードをクリックします。
      • 関連付けと、ノードグループに含まれるすべてのオブジェクトを確認するには、グループ化されたオブジェクトの総数が表示されているノードをクリックして、表示されるサイドパネルに詳細を表示します。
        注意
        注意
        同じ種類のオブジェクトは、同じ関連付けを共有している場合にのみグループ化されます。
      • ノードを目的の方向に移動するには、グラフ内でノードをドラッグします。
      • ズームインまたはズームアウトするには、右下隅のアイコンをクリックします。
  4. 目的のオブジェクトを特定したら、そのオブジェクトを右クリックして [ハイライト] または [相関グラフ]のコンテキストメニューにアクセスします。このメニューでは、高度な分析を実行したり、使用可能な場合は直接処理を実行したりできます。
    詳細については、コンテキストメニューそして詳細分析の処理を参照してください。
    注意
    注意
    コンテキストメニューは選択したオブジェクトによって異なり、選択したオブジェクトで使用可能なタスクのみが表示されます。
関連情報