警報詳細資料 | Trend Micro Service Central

檢視次數:

Workbench 提供詳細的警報資訊，以便進行更有效的調查。

下表描述了 Workbench 提供的有關警報的基本信息。

元素

說明

狀態

狀態：在Workbench中觸發的警報或調查的當前狀態

Open：此警報是新的，目前尚未調查
In progress：警報正在調查中。
Closed：警報調查已完成。

分數

分配給警報的整體嚴重性

Trend Vision One 根據匹配檢測模型的嚴重性和警報的影響範圍計算分數。

注意

自2021年一月18日起，Trend Vision One 調整了評分模型，並將最高警報分數重新定義為99。新的評分模型僅影響新的警報。

新的評分模型將匹配模型的嚴重性作為計算的主要因素，並為影響範圍值定義了一定的閾值。

工作台 ID

警報的唯一識別碼

型號名稱

觸發警報的檢測模型

模型嚴重性

觸發警報的模型所分配的嚴重性

影響範圍

警報影響公司網路內的實體數量

資料來源 / 處理器

提供資料防護給Workbench應用程式的產品

已建立

產生警報的日期和時間 Trend Vision One

檢測結果

Findings：警報調查的結果。

可用值：

True positive：調查確認發生了威脅或惡意活動。
Benign true positive：調查已確認存在一個對組織沒有風險的真實安全威脅。

良性真陽性是滲透測試或您環境中其他合法活動的結果。
False positive：未發現惡意活動。
值得注意：已偵測到需要進一步調查的異常活動。
Other findings：沒有足夠的資料防護來驗證結果。

案例

分配給警報的案件 ID。

擁有者

分配給此警報的使用者。

相關見解

與警報相關的Workbench insight

自動回應

與警報相關的自動回應任務狀態

下表描述了在警報詳細資訊畫面上顯示的警報資訊。

元素

說明

摘要

您正在調查的警報基本資訊

如果警報是由安全威脅資訊掃描模型觸發，則顯示以下資訊：

Campaign：相關的安全威脅活動
Industry：該安全威脅活動所屬的行業
Intelligence source：提供匹配情報報告的資料來源
First seen：在環境中首次識別出威脅指標的日期和時間
Last seen：在環境中最後識別到的威脅指標的日期和時間

亮點

觸發警報的事件對象列表，包含上下文豐富的資訊。

事件包含以下資訊：

檢測到可疑行為的過濾器
Technique：檢測到的 MITRE 技術
Detection：檢測到的惡意程式
Data source / processor：將警報資料發送到Workbench的產品
Emerging threats：與檢測相關的新興威脅
Threat actors：與該檢測相關的安全威脅行為者
Exploited CVE：檢測到的 CVE 以及有關積極利用該弱點的活動的其他資訊
Malware/Tool：在警報中檢測到的工具或惡意程式
檢測發生的日期和時間

事件中涉及的對象，如端點、命令、電子郵件訊息和註冊表值

注意

在事件中涉及兩種類型的對象：
- 觸發當前過濾器的突出顯示對象
- 納入影響範圍的實體
如果警報是由安全威脅資訊掃描模型觸發的，Highlights 部分將顯示識別出的 IoC、資料來源/處理器和相關對象。

時間軸

顯示偵測發生的日期和時間

可觀察圖

以可視化形式提供警報的更詳細上下文

點選Highlights部分中的任何事件，以突出顯示Observable Graph中的特定對象。

圖中的每個節點指的是一個物件，每個連結反映了一個節點與相鄰節點之間的關係。

每一行 () 代表兩個物件之間的關聯，例如，使用者帳號與端點的關聯。
每個箭頭 () 表示兩個對象之間交易的方向，例如，從電子郵寄件者到收件人的方向。
連線詳細資料圖示 () 表示兩個物件之間的連線，例如端點和網站之間的連線。

注意

點選連線詳細資料圖示 () 以查看詳細資訊。

相關資產

顯示與事件中涉及的資產進行通信的最新端點和使用者