檢視次數:

調查並了解任何警報的範圍和嚴重性,以進一步決定應對行動。

All Alerts 畫面 (Agentic SIEM & XDRWorkbench) 顯示所有由偵測模型觸發的獨立警報。
下表概述了Alert View畫面上可用的操作。
處理行動
說明
調查警報
了解任何警報的範圍和嚴重性以進一步決定應對措施。
開啟新案件
找到Workbench警報並點選Open new case以建立新案件來處理該警報。
重要
重要
開啟個案 以處理獨立警報會停用Workbench警報註釋功能,並將所有相關的Workbench註釋轉移到個案中。
您只能直接將新筆記添加到案件中。
查看警報詳情
點擊警報的 ID 以查看警報的摘要、重點和可觀察圖
篩選警報資料防護
使用下拉選單依據警報「狀態」「Case status」在Case Management中篩選警報資料,警報「已建立」時間和調查「Findings」
注意
注意
提供下列調查結果:
  • -:調查沒有發現任何結果。
  • Benign true positive:調查確認存在一個對組織不構成風險的真正安全威脅。良性真正陽性是滲透測試或您環境中其他合法活動的結果。
  • False positive:未發現惡意活動。
  • 值得注意: Trend Vision One 偵測到異常活動,需要進一步調查。
  • True positive:調查確認發生了威脅或惡意活動。
點擊「Add filter」,然後從下拉選單中選擇一個選項,以篩選「Asset group」「Custom tag」「Criticality」「Data source / processor」「Endpoint group」「Model name」「Model type」「Owners」
您也可以使用搜尋框來篩選警示資料防護。
更改檢視
透過從「檢視」下拉選單中選擇以下選項之一來更改視圖:
  • All:顯示所有符合過濾條件的警報
  • Group by
    • Model:按偵測模型名稱分組警報
    • Endpoint:按端點名稱分組警報
    秘訣
    秘訣
    點選每一列的右箭頭 (Workbench_right_arrow=GUID-086A3484-09C5-4182-8C88-8B5D59C8E61F=1=zh-tw=Low.png) 以展開按特定模型或端點名稱分組的警報。
變更警示狀態
選取一個或多個警報,然後點選Change Status以更新警報或調查的進度。
更改警報發現
選取一個或多個警報並點選Change Findings以更新案件的發現。
指派擁有者
選取一個或多個警示並點選Assign Owner指派您組織內的帳戶到這些警示
在Workbench洞察中移動警報
選擇一個或多個警報,然後選擇以下任何選項:
  • Associate with insight:將警報移至指定的Workbench洞察。
  • Remove from insight:從目前的Workbench洞察中移除警報。
重要
重要
  • Workbench 不再嘗試將您移動的警報與任何新警報相關聯。
  • 警報只能屬於一個Workbench洞察。
查看自動回應劇本
點擊「Automated Response Playbooks」以顯示自動回應Playbooks,這些Playbooks在Security Playbooks中可用。
相關資訊