お客様の環境で検出された個々のイベントを確認し、それがWorkbenchアラートを引き起こす可能性があるかどうかを確認してください。
Trend Vision Oneは、アラートをトリガーする検出モデルを構成する詳細に定義された検出フィルターまたはカスタム検出フィルターを使用してイベントを検出します。Trend Vision OneがObserved Attack Techniquesにリストするイベントは、WorkbenchインサイトやWorkbenchアラートにつながらない場合があります。Trend Vision Oneアプリのデータを使用して、Workbenchインサイトをさらに調査し、個々の検出を評価することができます。
次の表は、Observed Attack Techniquesアプリで利用可能なアクションを示しています。
|
処理
|
説明
|
||
|
イベントデータのフィルタ
|
リストを使用して特定のイベントデータを見つけてください。
検索バーでエンドポイントまたはコンテナ名でも検索できます。
|
||
|
フィルタから検索クエリを作成する
|
指定したフィルタに基づいて検索でクエリを作成するには、 [Searchアプリでクエリを実行]をクリックします。
|
||
|
検出フィルタをリストに表示しない
|
特定の検出フィルタで不要な検出を多数受信した場合は、特定のフィルタのデータを一時的に非表示にすることができます。
不要な[検出フィルタ]名を右クリックし、[値を非表示にする]をクリックします。すべての不要なフィルターを[非表示のオブジェクト]リストに追加した後、[適用]をクリックしてリストを再読み込みします。
|
||
|
Searchアプリで予定の詳細を表示する
|
イベントを見つけたら、行の最後にあるオプションアイコン (
 ) をクリックし、[イベントをSearchで表示] を選択して、新しいブラウザタブでSearchアプリを開きます。 |
||
|
ケースにイベントを追加
|
イベントを見つけ、行の最後にあるオプションアイコン (
) をクリックし、[ケースに追加]を選択して、そのイベントをケースのエビデンスとして追加します。 |
||
|
イベントをWorkbenchインサイトに追加
|
イベントを見つけて右クリックし、[Add to Workbench Insight]を選択します。
イベントをWorkbenchインサイトに追加すると、影響範囲やハイライトされたオブジェクトを含むインサイト情報が更新されます。
|
||
|
関連付けられたエンティティに関する詳細情報の表示
|
関連エンティティの詳細情報を表示するには、[詳細なプロファイルを表示]アイコン (
 ) をクリックしてください。 |
||
|
詳細を表示
|
任意の行を展開すると、検出および関連付けられたエンティティに関連する詳細が表示されます。
|
||
|
Trend Companionとチャットする
|
|
をクリックしてください。