檢視次數:

通過利用Case Management中可用的選項來管理您組織的案件。

Case Management 中的 Trend Vision One 標籤顯示您組織的 SOC 團隊所開啟的案件。
重要
重要
您組織可以上傳最多 1 GB 的附件。此限制適用於組織內開啟的所有案件。
下表概述了Case Management (工作流程和自動化Case Management) 的Trend Vision One標籤中的選項。
處理行動
說明
篩選案例資料
使用可用的下拉選單來查找特定案例。
  • 狀態:案件的當前狀態。
    可用狀態:
    • 開啟 (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png)
    • 進行中 (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png)
    • 已關閉 (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png)
  • Findings:案件的調查結果。
    可用值:
    • True positive:調查確認發生了威脅或惡意活動。
    • False positive:未發現惡意活動。
    • Benign true positive:調查已確認存在一個對組織沒有風險的真實安全威脅。
      良性真陽性是滲透測試或您環境中其他合法活動的結果。
    • 值得注意:已偵測到需要進一步調查的異常活動。
    • -:調查沒有發現任何結果。
  • Priority:案件所有者分配的優先順序。
    可用值:
    • P0
    • P1
    • P2
    • P3
  • Owners:分配給此案件的 Trend Vision One 帳戶。
更改案件狀態
選取一個或多個案件並點選Change Status以更新案件進度。
更改案件調查結果
選取一個或多個案例,然後點選Change Findings以更新案例的發現。
更改案件優先順序
選取一個或多個案件並點選Change Priority以更新案件的優先順序。
指派擁有者
選取一個或多個警示並點選Assign Owners以指派您組織內的帳戶到此案件。
重要
重要
指派擁有者有以下限制:
  • 僅限 IdP 的 SAML 群組使用者:
    • 您只能指派已登入且仍在Trend Vision One中快取的使用者。
    • 使用者帳號 畫面無法列出 IdP-only SAML 群組下的所有使用者。
  • IdP-only SAML groupsIdP-only SAML group users 無法接收電子郵件通知。
開啟子案件
相關案件是獨立的子案件,讓您能夠靈活地將複雜的調查分成小的子案件。相關案件為主要案件提供詳細資訊。
找到一個案件,點選列尾的選項圖示 (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png),然後點選Open Related Case。新案件會自動與主案件連結。
將鑑識工作區新增至子案件
找到一個鑑識案件並點選Create Forensics Workspace
新的取證工作區會自動新增到相關案件中作為關聯項目。所有屬於工作台警報/洞察影響範圍的端點都會新增到工作區。
啟用與 ServiceNow 的整合
點選右上角的設定圖示 (gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png),並開啟與 ServiceNow 的整合。
與 ServiceNow 整合,將案件管理票證發送到 ServiceNow ITSM,以便在 ServiceNow 入口網站中進行管理。