檢視次數:

檢查您環境中可能觸發Workbench警報的個別事件。

Trend Vision One 透過使用細緻的預定義或自訂檢測過濾器來檢測事件,這些過濾器構成了觸發警報的檢測模型。Trend Vision One 在觀察到的攻擊技術中列出的事件可能不會導致Workbench見解或Workbench警報。您可以使用 Trend Vision One 應用程式中的資料進一步調查Workbench見解並評估個別檢測。
以下表格列出了在觀察到的攻擊技術應用程式中可用的操作:
處理行動
說明
篩選事件資料
使用列表來定位特定的資料防護事件。
  • Risk level:由趨勢科技安全威脅專家判定的檢測過濾器風險等級
    趨勢科技 專家會持續評估威脅,並可能根據最新的可用資訊隨時更新檢測的風險等級。
  • Detected:偵測發生的時間
  • Data source / processor:偵測到事件的產品
  • Detection filter:從Detection filterTactic IDTechnique ID中選擇以定位特定篩選器或 MITRE 資料防護
您也可以在搜尋欄中按端點或容器名稱進行搜尋。
從篩選器建立查詢
要在 XDR 資料防護探索器中根據您指定的篩選器建立查詢,點擊「Query in XDR Data Explorer」
從列表中隱藏檢測過濾器
如果您在特定檢測過濾器上收到大量檢測結果,但對您沒有興趣,您可以暫時隱藏特定過濾器的資料防護。
右鍵點擊不需要的 Detection filter 名稱,然後點擊 Hide Value。在將所有不需要的過濾器添加到 Hidden objects 列表後,點擊 Apply 以重新載入列表。
注意
注意
您無法保存Hidden objects列表。如果您離開觀察到的攻擊技術,列表將重置。
XDR Data Explorer中查看事件詳細資訊
找到事件,點擊行末的選項圖示 (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png),然後選擇「View Event in XDR Data Explorer」以在新的瀏覽器標籤中開啟XDR Data Explorer
新增事件到案例
找到一個事件,點擊行末的選項圖示 (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png),然後選擇 Add to Case 將該事件添加為案件的證據。
將事件添加到Workbench洞察
定位並右鍵點擊一個事件,然後選擇Add to Workbench Insight
將事件添加到Workbench洞察會更新洞察信息,包括影響範圍和突出顯示的對象。
查看關聯實體的詳細資訊
點擊Show Detailed Profile圖示(details_icon=f45ada04-b746-40a7-a5f4-2166c059213c.png)以查看有關相關實體的詳細資訊。
查看更多詳情
展開任何一行以查看與檢測和相關實體有關的更多詳細信息。
趨勢伴侶聊天
  • 點選 newCompanionIcon=GUID-20240819112525.jpg 以開始與 Trend Companion 對話。
  • 右鍵點擊 CLI 命令元素 (parentCmdprocessCmdobjectCmd),然後選擇 Explain Command 以了解在事件中執行的命令。
  • 要了解事件,您可以右鍵點選事件或點選 options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png 並選擇 Explain Event趨勢伴侶 無法解釋僅包含自訂篩選器的事件。
相關資訊