基於洞察的執行配置檔允許您從更廣泛的角度關注受影響端點上的對象和事件,而不是孤立的、離散的警報,這些警報可能指向相同的根本原因。
通過關聯和分組相關警報,基於洞察的執行配置文件在多個分析鏈上可視化對象和事件,以促進互動式調查。
下表描述了構成基於洞察的執行配置文件的不同元素。
|
元素
|
說明
|
|||
|
左側面板
|
Observed Attack Techniques 面板
|
列出在您環境中檢測到的個別事件及相關的MITRE資訊
您可以點選View event以在Observed Attack Techniques應用程式中進一步查看事件詳情。
|
||
|
Endpoints 面板
|
列出受影響的端點和來自洞察相關警報的重點對象
|
|||
|
圖表部分
|
鏈視圖
|
彙總多個分析鏈,將物件和事件可視化以進行互動式調查。
您可以點選任何節點來查看詳細的資料並檢查該對象的相關事件。初始分析鏈顯示最關鍵的事件作為基準,並允許您在必要時添加更多事件到鏈中。
|
||
|
時間軸視圖
|
按時間順序顯示與洞察相關的事件。
預設情況下,僅突出顯示洞察的首次觀察事件。您可以使用右箭頭(
 )逐步查看攻擊過程。 |
|||
|
右側面板
|
Profile 標籤
|
顯示適用於所選對象的詳細資訊
|
||
|
Events 標籤
|
顯示所選對象執行的操作
您可以展開每個動作以檢查事件中涉及的對象,並選擇在鏈視圖中動態顯示或隱藏它們。
|
|||
|
Sources 標籤
|
顯示所選物件的起點,這是鏈視圖中未顯示的其他資訊
|
|||
