檢視次數:

TrendAI Vision One™ 中開啟案件,並在 Workflow and Automation「Case Management」 中管理您組織的案件。

Case Management 顯示由您的安全運營中心 (SOC) 團隊、信息技術 (IT) 團隊或風險管理人員開啟的 TrendAI Vision One™ 案件。TrendAI Vision One™ 案件通常基於 網路風險暴露管理 中的事件、事件和警報,Security Playbooks(使用自動回應 Playbook)、Workbench 和 Compliance Management。TrendAI Vision One™ 也有一般案件,可以在不依賴現有安全事件的情況下開始調查。一般案件非常適合主動安全威脅狩獵、新興安全威脅分析以及跨團隊的協作調查。
案例管理會自動關閉TrendAI Vision One™60天未活動的案例
TrendAI Vision One™ 相關聯警報或洞察並合併洞察時,它也會合併任何相關的案例。合併會關閉一個案例,並將所有筆記、擁有者和歷史記錄移至剩餘的案例。
下表列出Case Management提供的選項。
處理行動
說明
開啟一般案件
按一下「Open a general case」以開始新案件。
篩選案例資料
使用這些選項來定位特定案例。
  • 狀態:案件目前所處的階段
    • To do (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png)
    • In progress (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png)
    • Closed (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png)
  • Findings:案件的調查結果(僅適用於在Workbench中建立的案件)
    • True positive:調查確認發生了威脅或惡意活動。
    • False positive:未發現惡意活動。
    • Benign true positive:調查確認存在一個對組織不構成風險的真正安全威脅。良性真正陽性是滲透測試或您環境中其他合法活動的結果。
    • 值得注意: TrendAI Vision One™ 偵測到異常活動,需要進一步調查。
    • -:調查沒有發現任何結果。
  • Priority:案件所有者分配的優先級。
    • P0:最高優先級
    • P1:優先級低於 P0,但高於 P2 和 P3
    • P2:優先級低於 P0 和 P1,但高於 P3
    • P3:最低優先順序
  • Type:案件類型
    • Workbench
    • Forensics
    • Risk Event
    • Compliance Management
    • 一般
    • 其他
  • Owners:分配給此案件的TrendAI Vision One™帳戶。
  • Created:案件建立的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
  • Created by:建立此案例的TrendAI Vision One™使用者、劇本或第三方應用程式
  • Closed by:關閉案件的TrendAI Vision One™使用者、劇本或第三方應用程式。
  • Last updated:案件最後更改的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
按一下「Add filter」以取得其他選項:
  • 優先順序
  • 已建立
  • Last updated
  • 類型
  • Created by
  • Closed by
  • Associated item
更改案件狀態
選取一個或多個案件並點選Change Status以更新案件進度。
在網路風險暴露管理中,當所有相關的風險事件已被修復、接受或駁回時,案件會自動變更為 Closed。如果並非所有風險事件都已解決,您可以在手動關閉案件時更改風險事件的狀態。
更改案件調查結果
選取一個或多個案例,然後點選Change Findings以更新案例的發現。
更改案件優先順序
選取一個或多個案件並點選Change Priority以更新案件的優先順序。
將檔案附加到案件
點擊案例名稱以打開案例詳細資訊,然後點擊Attach Files
您所在的組織在案件管理中可以上傳最多一 GB 的附件檔案。
生成調查報告
重要
重要
這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
如果您在TrendAI™ Companion中已啟動生成式AI,點擊案例名稱並前往TrendAI™ Companion「Generate investigation report」TrendAI™ Companion會為該案例生成安全威脅調查和修復報告,您可以通過前往Dashboards and ReportsReports來預覽、編輯和下載。
此操作僅適用於具有真正陽性發現的Workbench案例。
建立案例摘要
重要
重要
這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
如果您在 TrendAI™ Companion 中已啟動生成式 AI,點擊案例名稱並前往 TrendAI™ Companion「Summarize case」TrendAI™ Companion 總結了自上次創建進度摘要筆記以來在案例中創建的所有筆記。
摘要會作為活動下的一個條目出現。摘要進度記錄在將案件轉移給新負責人時非常有用。
指派擁有者
選擇一個或多個案例,然後點擊Assign Owners,以在您的組織內指派帳戶到該案例。
指派擁有者有以下限制:
  • 僅限 IdP 的 SAML 群組使用者:
    • 您只能指派已登入且仍在TrendAI Vision One™中快取的使用者。
    • User Accounts 無法列出 IdP 專用 SAML 群組下的所有使用者。
  • IdP-only SAML groupsIdP-only SAML group users 無法接收電子郵件通知。
更改受影響的資產
對於在網路風險暴露管理中建立的案例,您可以選擇特定受影響的資產,並將資產移至不同的案例或從案例中移除資產。您只能在涉及相同風險事件的案例之間移動資產。
開啟子案件
相關案件是獨立的子案件,讓您能夠靈活地將複雜的調查分成小的子案件。相關案件為主要案件提供詳細資訊。
找到一個案件,點擊options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png並選擇Open Related Case。新案件會自動與主案件連結。
將鑑識工作區新增至子案件
選取鑑識案件,然後按一下Create Forensics Workspace
新的取證工作區會自動新增到相關案件中作為關聯項目。取證工作區包括所有屬於Workbench警報/洞察影響範圍的端點。
編輯其他通知
對於在網路風險暴露管理中建立的案例,點擊edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png以在描述中指定接收通知的電子郵件地址。
啟用與 ServiceNow 的整合
點擊 gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png「整合設定」整合 ServiceNow
與 ServiceNow 整合可讓您將案件管理票證發送至 ServiceNow ITSM,以便在 ServiceNow 入口網站中進行管理。僅支援從自動回應劇本建立的Workbench案件。
自訂欄位
點擊columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg以選擇在Case Management中顯示的欄位。
重新整理資料
點擊 refresh=5bd75452-c2fb-43ed-90e6-7b552fdc5dd2.png 以獲取最新的案件資訊。
匯出案例到 CSV 檔案
選擇案例並點擊匯出以建立案例資料的報告。Case Management將資料儲存為逗號分隔值 (CSV) 檔案。您也可以在報告應用程式中查看和下載該檔案。
相關資訊