在偵測模型觸發警報後,您可以深入調查警報詳情。
步驟
- 在 Workbench 應用程式中,前往 All Alerts。
- 點選您想要調查的警報的 工作台 ID 連結。
- 在警報詳細資訊畫面中,檢查並分析提供的警報資訊。
- 在Summary部分,執行以下任一操作:
-
檢查有關匹配模型的信息。
-
通過點擊Impact scope旁邊的每個圖標,了解有關警報影響的實體的詳細信息。
-
通過點擊狀態圖標更改警報或調查的狀態。
-
通過點擊Notes圖標(
),向當前警報或調查添加註釋或檢查現有註釋。 -
通過點擊Execute playbook來執行警報的自動回應劇本。
重要
要啟動警報的自動回應,請先配置自動回應劇本。
-
- 在Highlights部分,執行以下任一操作:Highlights 部分列出了觸發警報的具體檢測過濾器。檢測模型使用過濾器來檢測符合 MITRE 技術和報告的安全威脅指標的可疑行為。Highlights 部分的每個事件都以觸發的檢測過濾器名稱開始。
-
要了解更多有關 MITRE 技術的資訊,請點選技術旁邊的相關連結。
-
若要了解事件及物件之間的關係,請點選任一事件以在Observable Graph區域中突顯特定物件。
-
要在 Search 應用程式中使用事件 UUID 建立新的搜尋查詢,請點選 Search Event UUID。
-
要開啟上下文選單,請右鍵點選物件並選擇任何可用的操作。詳情請參閱步驟 3。
注意
根據您選擇的對象,內容選單會有所不同,並且只顯示所選對象的可用任務。
-
- 在Observable Graph部分,執行以下任一操作:
-
點選
以開始與 Trend Companion 對話。在警報調查期間,趨勢伴侶 可以解釋顯示在您螢幕上的警報。您可以使用提示,例如提供此工作台警報的解釋
來要求 趨勢伴侶 解釋工作台警報。
秘訣
點選Add to Note以新增回應至警示備註。 -
若要檢查單個節點的相關節點,請點選您感興趣的節點。
-
要檢查關聯和節點群組中包含的所有對象,請點選標有群組對象總數的節點,並在出現的側面面板上查看詳細資訊。
注意
只有在具有相同關聯時,相同類型的對象才會被分組在一起。 -
要將節點移動到您偏好的方向,請在圖中拖動該節點。
-
若要放大或縮小,請點選右下角的圖示。
-
- 在Summary部分,執行以下任一操作:
- 在Highlights或Observable Graph中識別到感興趣的對象後,右鍵點選該對象以訪問上下文選單,這允許您執行高級分析或採取直接行動(如果可用)。