檢視次數:

調查並了解任何警報的範圍和嚴重性,以進一步決定應對行動。

All Alerts 畫面 (Agentic SIEM & XDRWorkbench) 顯示所有由偵測模型觸發的獨立警報。
下表概述了Alert View畫面上可用的操作。
處理行動
說明
調查警報
了解任何警報的範圍和嚴重性 以進一步決定應對行動
開啟新案件
找到Workbench警報並點選Open new case以建立新案件來處理該警報。
重要
重要
開啟個案 以處理獨立警報會停用Workbench警報註釋功能,並將所有相關的Workbench註釋轉移到個案中。
您只能直接將新筆記添加到案件中。
查看警報詳情
點選警報的 ID 以查看警報的摘要、重點和可觀察圖
篩選警報資料防護
使用搜尋框和下拉列表來篩選警報資料防護。
  • 狀態:在Workbench中觸發的警報或調查的當前狀態
    • Workbench_status_new=GUID-ECE0863A-AFD9-43A7-9245-9ECD4E1D18AB=1=zh-tw=Low.pngOpen:此警報是新的,目前尚未調查
    • Workbench_status_in_progress=GUID-E3AF045A-35FC-489C-A753-DE2960F7D022=1=zh-tw=Low.pngIn progress:警報正在調查中。
    • Workbench_status_closed=GUID-25658551-3D98-49BC-AE83-48B6710C2065=1=zh-tw=Low.pngClosed:警報調查已完成。
  • CreatedTrend Vision One 產生警報的時間
  • Model name:觸發警報的檢測模型
  • Model type:觸發警報的檢測模型是否為自訂模型。
  • Data source / processor:將警報資料發送到Workbench的產品
  • Findings:警報調查的結果。
    • -:調查沒有發現任何結果。
    • Benign true positive:調查確認存在一個對組織不構成風險的真正安全威脅。良性真正陽性是滲透測試或您環境中其他合法活動的結果。
    • False positive:未發現惡意活動。
    • 值得注意: Trend Vision One 偵測到異常活動,需要進一步調查。
    • True positive:調查確認發生了威脅或惡意活動。
  • Owners:是否已分配所有者的警報。
  • Case status:您是否在案件管理中開啟了一個案件來調查此警報。
更改檢視
View選單中選擇一個選項:
  • All:顯示所有符合過濾條件的警報
  • Group by
    • Model:按偵測模型名稱分組警報
    • Endpoint:按端點名稱分組警報
    秘訣
    秘訣
    點選每一列的右箭頭 (Workbench_right_arrow=GUID-086A3484-09C5-4182-8C88-8B5D59C8E61F=1=zh-tw=Low.png) 以展開按特定模型或端點名稱分組的警報。
變更警示狀態
選取一個或多個警報,然後點選Change Status以更新警報或調查的進度。
更改警報發現
選取一個或多個警報並點選Change Findings以更新案件的發現。
指派擁有者
選取一個或多個警示並點選Assign Owner指派您組織內的帳戶到這些警示
在Workbench洞察中移動警報
選擇一個或多個警報,然後選擇以下任何選項:
  • Associate with insight:將警報移至指定的Workbench洞察。
  • Remove from insight:從目前的Workbench洞察中移除警報。
重要
重要
  • Workbench 不再嘗試將您移動的警報與任何新警報相關聯。
  • 警報只能屬於一個Workbench洞察。
查看自動回應劇本
點擊「Automated Response Playbooks」以顯示自動回應Playbooks,這些Playbooks在Security Playbooks中可用。
相關資訊