檢視次數:

Trend Vision One 允許您透過匯入您自己的報告並從第三方情報來源檢索資料來建立自訂情報。

下表概述了Custom畫面上可用的操作。
處理行動
說明
篩選情報報告
使用搜尋文字框和以下下拉式清單來篩選自訂情報報告:
  • Last updatedTrend Vision One 接收報告的最後日期和時間
  • View:顯示特定報告或所有報告的選項
  • Source:報告的來源
新增情報報告
點選新增,選擇匯入 CSV 和 STIX 檔案,或從第三方情報中檢索資料作為自訂情報報告。
匯入 CSV 和 STIX 檔案時,您可以選擇提取可疑物件資訊、選擇風險等級、指定連接產品在檢測到時應用的操作,並選擇提取物件的到期選項。
注意
注意
匯入的 CSV 檔案會轉換為 STIX 情報報告。Trend Vision One 支援將以下類型的指標從 CSV 檔案轉換為 STIX 模式:
  • 網域
  • 檔案 (SHA-1, SHA-256, MD5)
  • 檔案名稱
  • IP 位址
  • 進程(命令行)
  • URL
  • 使用者帳號
STIX 檔案必須包含一個或多個「指標」類型的 STIX 物件才能成功匯入。
從情報報告中提取可疑物件
選擇一個或多個情報報告並點選Extract Suspicious Objects。完成風險等級、動作和到期設定,然後點選Submit
刪除情報報告
選擇一個或多個情報報告,然後點選刪除
採取其他行動
點選列尾的選項按鈕 (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png),然後選擇對情報報告採取其他操作:
  • Download STIX Intelligence Report:點選以將報告下載為本地的 STIX 檔案。
  • Start Sweeping:點選以觸發手動掃描任務,搜尋您的環境中的安全威脅指標。
  • Configure Auto Sweeping:點選以開啟並指定自動掃描的執行期間,然後點選Submit
  • Extract Suspicious Objects:點選以從當前報告中提取可疑物件。完成風險等級、操作和到期設定,然後點選Submit
  • Start Sweeping (STIX-Shifter):點選以觸發手動掃描任務,使用 STIX-Shifter 搜索您在 Third-Party Integration 中配置的其他資料來源中的安全威脅指標。
    如需有關 STIX-Shifter 連線設定的詳細資訊,請參閱 第三方整合
檢查指標計數和匹配
Indicators for sweeping下,檢查可用於從情報報告中掃描的指標數量。
Matched sweeps下,檢查具有指標匹配的任務數量和已創建的掃描任務總數。例如,訊息1 out of 7表示在七個掃描任務中有一個具有指標匹配。
注意
注意
訊息0 out of 0表示尚未觸發任何掃描任務。
此外,Trend Vision One 定義了掃描任務歷史記錄的 180 天資料保留期。Matched sweeps 下的訊息將在保留期結束後重置為 0 out of 0
查看掃描任務詳情
點選列開頭的右箭頭 (run_icon=cbe6ecd0-17e8-4e04-bef3-4efe4eb9c7e5.png) 以展開掃描任務並檢查每個任務的基本資訊。
若要進一步探索具有指標匹配的任務,請執行以下操作:
  • 點選Related links下的連結以開啟工作台警報或下載掃描結果。
  • 點選詳細資訊圖示(details_icon=f45ada04-b746-40a7-a5f4-2166c059213c.png)以檢查任務的匹配指標和相關實體。