檢視次數:

Trend Vision One 中開啟案件,並在 Workflow and Automation「Case Management」 中管理您組織的案件。

Case Management 顯示由您安全運營中心 (SOC) 團隊、資訊技術 (IT) 團隊或風險管理員開啟的 Trend Vision One 案件。Trend Vision One 案件基於 網路風險暴露管理 中的事件、事件和警報,Security Playbooks(使用自動回應劇本)、Workbench 和 Compliance Management。Case Management 會自動關閉 Trend Vision One60 天未活動的案件
下表列出Case Management提供的選項。
處理行動
說明
篩選案例資料
使用這些選項來定位特定案例。
  • 狀態:案件目前所處的階段
    • To do (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png)
    • In progress (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png)
    • Closed (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png)
  • Findings:案件的調查結果(僅適用於在Workbench中建立的案件)
    • True positive:調查確認發生了威脅或惡意活動。
    • False positive:未發現惡意活動。
    • Benign true positive:調查確認存在一個對組織不構成風險的真正安全威脅。良性真正陽性是滲透測試或您環境中其他合法活動的結果。
    • 值得注意: Trend Vision One 偵測到異常活動,需要進一步調查。
    • -:調查沒有發現任何結果。
  • Priority:案件所有者分配的優先級。
    • P0:最高優先級
    • P1:優先級低於 P0,但高於 P2 和 P3
    • P2:優先級低於 P0 和 P1,但高於 P3
    • P3:最低優先順序
  • Type:案件類型
    • Workbench
    • Forensics
    • Risk Event
    • Compliance Management
    • Others
  • Owners:分配給此案件的Trend Vision One帳戶。
  • Created:案件建立的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
  • Created by:建立此案例的Trend Vision One使用者、劇本或第三方應用程式
  • Closed by:關閉案件的Trend Vision One使用者、劇本或第三方應用程式。
  • Last updated:案件最後更改的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
按一下「Add filter」以取得其他選項:
  • 優先順序
  • 已建立
  • Last updated
  • 類型
  • Created by
  • Closed by
  • Associated item
更改案件狀態
選取一個或多個案件並點選Change Status以更新案件進度。
在網路風險暴露管理中,當所有相關的風險事件已被修復、接受或駁回時,案件會自動變更為 Closed。如果並非所有風險事件都已解決,您可以在手動關閉案件時更改風險事件的狀態。
更改案件調查結果
選取一個或多個案例,然後點選Change Findings以更新案例的發現。
更改案件優先順序
選取一個或多個案件並點選Change Priority以更新案件的優先順序。
將檔案附加到案件
點擊案例名稱以打開案例詳細資訊,然後點擊Attach Files
您所在的組織在案件管理中可以上傳最多一 GB 的附件檔案。
生成調查報告
重要
重要
這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
如果您在Trend Companion中已啟動生成式AI,點擊案例名稱並前往趨勢伴侶「Generate investigation report」趨勢伴侶會為該案例生成安全威脅調查和修復報告,您可以通過前往Dashboards and ReportsReports來預覽、編輯和下載。
此操作僅適用於具有真正陽性發現的Workbench案例。
建立案例摘要
重要
重要
這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
如果您在 Trend Companion 中已啟動生成式 AI,點擊案例名稱並前往 趨勢伴侶「Summarize case」趨勢伴侶 總結了自上次創建進度摘要筆記以來在案例中創建的所有筆記。
摘要會作為活動下的一個條目出現。摘要進度記錄在將案件轉移給新負責人時非常有用。
指派擁有者
選擇一個或多個案例,然後點擊Assign Owners,以在您的組織內指派帳戶到該案例。
指派擁有者有以下限制:
  • 僅限 IdP 的 SAML 群組使用者:
    • 您只能指派已登入且仍在Trend Vision One中快取的使用者。
    • User Accounts 無法列出 IdP 專用 SAML 群組下的所有使用者。
  • IdP-only SAML groupsIdP-only SAML group users 無法接收電子郵件通知。
更改受影響的資產
對於在網路風險暴露管理中建立的案例,您可以選擇特定受影響的資產,並將資產移至不同的案例或從案例中移除資產。您只能在涉及相同風險事件的案例之間移動資產。
開啟子案件
相關案件是獨立的子案件,讓您能夠靈活地將複雜的調查分成小的子案件。相關案件為主要案件提供詳細資訊。
找到一個案件,點擊options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png並選擇Open Related Case。新案件會自動與主案件連結。
將鑑識工作區新增至子案件
選取鑑識案件,然後按一下Create Forensics Workspace
新的取證工作區會自動新增到相關案件中作為關聯項目。取證工作區包括所有屬於Workbench警報/洞察影響範圍的端點。
編輯其他通知
對於在網路風險暴露管理中建立的案例,點擊edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png以在描述中指定接收通知的電子郵件地址。
啟用與 ServiceNow 的整合
點擊 gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png「整合設定」整合 ServiceNow
與 ServiceNow 整合可讓您將案件管理票證發送至 ServiceNow ITSM,以便在 ServiceNow 入口網站中進行管理。僅支援從自動回應劇本建立的Workbench案件。
自訂欄位
點擊columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg以選擇在Case Management中顯示的欄位。
重新整理資料
點擊 refresh=5bd75452-c2fb-43ed-90e6-7b552fdc5dd2.png 以獲取最新的案件資訊。
匯出案例到 CSV 檔案
選擇案例並點擊匯出以建立案例資料的報告。Case Management將資料儲存為逗號分隔值 (CSV) 檔案。您也可以在報告應用程式中查看和下載該檔案。