利用工作區來簡化您事件調查的流程。
工作區讓您組織證據、構建調查時間線以及在您的環境中分流端點。
 |
重要
|
下表概述了工作區中可用的操作。
|
處理行動
|
說明
|
||
|
顯示工作區資訊
|
 的工具提示訊息包括以下資訊:
|
||
|
新增端點
|
通過點擊Add Endpoints從端點清單中添加端點。您可以通過風險評分篩選端點,以查看特定範圍內的端點。
|
||
|
篩選端點
|
使用搜尋欄位和下拉選單在工作區中定位特定端點。
|
||
|
調查端點
|
對於每個端點,您可以:
|
||
|
新增套件
|
點選Add Evidence以從Evidence Archive標籤新增證據包。
請稍等片刻,讓套件處理並新增到工作區。Forensics 會為每個新增的套件生成證據報告。
|
||
|
收集證據
|
從新增到工作區的端點收集證據:
|
||
|
查看、刪除和下載證據包
|
點選端點左側的展開箭頭 (
 ) 以查看相關的證據包。對於每個包,您可以:
|
||
|
在工作區中搜尋證據
|
點選Evidence Search (
 ) 以搜尋工作區中所有新增套件的證據。 |
||
|
查看詳細風險概況
|
點選
 以查看資產風險的詳細資料。在詳細資料中,您可以執行以下操作:
|
||
|
更新受影響的端點
|
在案例檢視器中,點選Update Forensics Workspace以更新受影響的端點工作區。
如果案件不再包含端點,Trend Vision One 不會自動移除該端點。您可以手動從工作區中移除任何未受影響的端點。
|
||
|
分類端點
|
根據嚴重性和影響識別、優先處理和管理被攻擊的端點。了解更多
|
||
|
隔離端點
|
選取一個或多個端點,然後點選Isolate Endpoint以防止潛在的惡意活動擴散到其他端點。
|
||
|
移除未受影響的端點
|
選擇一個或多個端點,然後當該端點不再與此工作區相關時,點選Remove Endpoint。
|
||
|
查看工作區相關任務
|
點選Related Tasks以在新標籤頁中查看相應的Task List。
|
||
|
管理調查時間軸
|
點選Timeline (
 ) 以開啟調查時間軸。 |
||
|
重新整理工作區
|
點選
 以更新並重新顯示此工作區的資料。 |
並選擇 Remove Endpoint from a Workspace 當該端點不再與此工作區相關時。