檢視次數:

TrendAI Vision One™ 中開啟案件,並在 Workflow and Automation「Case Management」 中管理您組織的案件。

Case Management 顯示由您的安全運營中心 (SOC) 團隊、信息技術 (IT) 團隊或風險管理人員開啟的 TrendAI Vision One™ 案件。TrendAI Vision One™ 案件基於 網路風險暴露管理 中的事件、事件和警報,Security Playbooks(使用自動響應 Playbook)、Workbench 和 Compliance Management。Case Management 會自動關閉 60 天內未活動的 TrendAI Vision One™ 案件。
TrendAI Vision One™ 將警報或見解進行關聯並合併見解時,也會合併任何相關的案例。合併會關閉一個案例,並將所有筆記、擁有者和歷史記錄移至剩餘的案例。
下表列出了在Case Management中可用的操作。
處理行動
說明
尋找並篩選案例資料防護
使用這些選項來定位特定案例。
  • Case status:案件目前所處的階段
    • To do (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png)
    • In progress (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png)
    • Closed (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png)
  • Findings:調查結果(僅適用於在 Workbench 中建立的案件)
    • True positive:調查確認發生了威脅或惡意活動。
    • False positive:未發現惡意活動。
    • Benign true positive:調查確認存在一個對組織不構成風險的真正安全威脅。良性真正陽性是滲透測試或您環境中其他合法活動的結果。
    • 值得注意: TrendAI Vision One™ 偵測到異常活動,需要進一步調查。
    • -:調查沒有發現任何結果。
  • 擁有者:分配給此案件的使用者帳號。
  • Case search:快速定位符合輸入詞句或術語的案例
  • Add filter:其他案例篩選器
    • Associated items
    • Closed by
    • 已建立
    • Created by
    • 上次更新時間
    • 物件名稱
    • Object types
      • AMSI script
      • CLI 命令
      • Cloud collaboration app
      • Cloud identity
      • 桌上型電腦
      • 網域
      • 電子郵件信箱
      • 電子郵件
      • 檔案
      • IAM permission
      • IP 位址
      • 惡意程式
      • 優先順序
      • 處理程序
      • 登錄
      • Sensitive data
      • 伺服器
      • 文字
      • 類型
      • URL
      • 使用者帳號
    • Object value
    • Priority:案件所有者分配的優先級。
    • SLA status:案件是否違反服務水平協議
    • Type:案件類型
除了上述篩選器外,您還可以自訂在「Case Management」中看到的欄位。
  • Case ID / Name:案件的ID和名稱。點擊以查看案件詳情。
  • Priority:案件所有者分配的優先級。
    • P0:最高優先級
    • P1:優先級低於 P0,但高於 P2 和 P3
    • P2:優先級低於 P0 和 P1,但高於 P3
    • P3:最低優先順序
  • Type:案件類型
    • Compliance Management
    • Forensics
    • 一般
    • 其他
    • Risk Event
    • Workbench
  • Associated items:相關物件如警報、工作台 ID、工件或外部票證
  • Created:案件建立的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
  • Created by:建立此案例的TrendAI Vision One™使用者、劇本或第三方應用程式
  • Closed by:關閉案件的TrendAI Vision One™使用者、劇本或第三方應用程式。
  • Last updated:案件最後更改的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
  • SLA status
  • Case duration:案件保持開啟的總時間
  • TTC:自案件開啟以來經過的時間,直到案件狀態為「已關閉」
  • TTC remaining:在違反服務水平協議之前,將案件狀態設為「已關閉」的剩餘時間
  • TTR:從開啟案件到最後一次成功回應的時間間隔
  • TTR remaining:在違反服務層級協議之前執行回應動作或運行 Security Playbook 的剩餘時間
  • TTA:自案件開啟以來經過的時間
  • TTA remaining:在違反服務水平協議之前,將案件狀態設為「進行中」的剩餘時間
  • TTI:案件狀態變更為「進行中」與最後回應動作之間的經過時間
  • Due date
變更案件狀態
選擇一個或多個案件並點擊「Change Status」以更新案件進度。
網路風險暴露管理中建立的案件,當所有相關風險事件已被修復、接受或駁回時,案件會自動變更為「已關閉」。如果並非所有風險事件都已解決,您可以在手動結案時更改風險事件狀態。
更改案件調查結果
選擇一個或多個案例並點擊「Change Findings」以更新案例的調查結果。
變更案件優先順序
選擇一個或多個案例並點擊「Change Priority」以更新案例的優先級。
附加檔案到案件
點擊案件名稱以開啟案件詳情,然後點擊「Attach Files」
您的組織在 Case Management 中所有案件的附件檔案總共最多可上傳一 GB。
生成調查報告
重要
重要
這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
如果您在 TrendAI™ Companion 中已啟動生成式 AI,點擊案例名稱並前往 TrendAI™ Companion「Generate investigation report」TrendAI™ Companion 會為該案例生成安全威脅調查和修復報告,您可以前往 Dashboards and ReportsReports 預覽、編輯和下載。
此操作僅適用於具有真正陽性發現的Workbench案例。
建立案件摘要
重要
重要
這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
如果您在 TrendAI™ Companion 中已啟動生成式 AI,點擊案例名稱並前往 TrendAI™ Companion「Summarize case」TrendAI™ Companion 會總結自上次創建進度摘要筆記以來在案例中創建的所有筆記。
摘要會作為活動下的一個條目出現。當案件轉移給新負責人時,摘要的進度記錄非常有幫助。
指派擁有者
選擇一個或多個案件,然後點擊「Assign Owners」以指派您組織內的帳戶到該案件。
指派擁有者有以下限制:
  • 僅限 IdP 的 SAML 群組使用者:
    • 您只能指派已登入且仍在TrendAI Vision One™中快取的使用者。
    • User Accounts 無法列出 IdP 專用 SAML 群組下的所有使用者。
  • IdP-only SAML groupsIdP-only SAML group users 無法接收電子郵件通知。
更改受影響的資產
網路風險暴露管理中建立的案例,您可以選擇特定受影響的資產,並將資產移至不同的案例或從案例中移除資產。您只能在涉及相同風險事件的案例之間移動資產。
開啟子案件
尋找一個案件,點擊options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png並選擇「Open Related Case」。新案件會自動與主案件連結。
相關案件是獨立的子案件,讓您能夠靈活地將複雜的調查分成小的子案件。相關案件為主要案件提供詳細資訊。
將 Forensics 工作區新增至子案件
選取Forensics案例,然後按一下「Create Forensics Workspace」
新的 Forensics 工作區會自動新增至相關案件作為關聯項目。Forensics 工作區包含所有屬於 Workbench 警示/洞察影響範圍的端點。
編輯其他通知
對於在網路風險暴露管理中創建的案例,點擊edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png以在描述中指定接收通知的電子郵件地址。
啟用與 ServiceNow 的整合
點擊 gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png「整合設定」整合 ServiceNow
與 ServiceNow 整合可讓您將 Case Management 工單發送至 ServiceNow ITSM,以便在 ServiceNow 入口網站中管理。僅支援從 Automated Response Playbooks 創建的 Workbench 案件。
自訂欄位
點擊columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg以選擇在Case Management中顯示的欄位。
重新整理資料
點擊refresh=5bd75452-c2fb-43ed-90e6-7b552fdc5dd2.png以獲取最新的案例資訊。
匯出案例到 CSV 檔案
選擇案例並點擊匯出以建立案例資料的報告。Case Management將資料保存為逗號分隔值 (CSV) 檔案。您也可以在報告應用程式中查看和下載該檔案。
建立案件任務
開啟案件並建立任務以追蹤必須為該案件完成的工作。配置以下欄位:
  • Task name:任務的名稱
  • 擁有者:分配給此任務的使用者帳號
    您可以指派一位或多位擁有者給任務。
  • 說明:有關此任務的其他詳細資訊
  • 狀態:任務的當前階段
    • 全部
    • To do
    • 進行中
    • 已關閉
    • 拒絕
  • Due date:任務需要完成的時間
尋找並篩選任務
使用這些選項來定位特定任務。
  • 狀態:任務的當前階段
    • To do
    • 進行中
    • 已關閉
    • 拒絕
  • 擁有者:分配給此任務的使用者帳號
    您可以指派一位或多位擁有者給任務。
    • 全部
    • 未指定
    • Specific owners
  • Task name:尋找符合輸入詞語或術語的任務
檢視和編輯案件任務
使用這些選項來定位特定任務。
批量更新任務
選擇一個或多個任務以同時更新以下欄位:
  • Due date
  • 狀態
  • Owners
您無法批量刪除任務。
按日期篩選任務
使用日期篩選器根據到期日或創建日期來查找任務。
搜尋任務
使用搜尋欄快速定位以下任務:
  • Task name
  • Task ID
查看與案件相關的任務
展開案件以查看與其相關的任務。
相關資訊