檢視次數:

Trend Vision One 中開啟案件,並在 Workflow and Automation「Case Management」 中管理您組織的案件。

Case Management 顯示由您安全運營中心 (SOC) 團隊、資訊技術 (IT) 團隊或風險管理員開啟的 Trend Vision One 案件。Trend Vision One 案件基於 網路風險暴露管理 中的事件、事件和警報,Security Playbooks(使用自動回應劇本)、Workbench 和 Compliance Management。Case Management 會自動關閉 Trend Vision One60 天未活動的案件
下表列出Case Management提供的選項。
處理行動
說明
篩選案例資料
使用這些選項來定位特定案例。
  • 狀態:案件目前所處的階段
    • To do (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png)
    • In progress (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png)
    • Closed (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png)
  • Findings:案件的調查結果(僅適用於在Workbench中建立的案件)
    • True positive:調查確認發生了威脅或惡意活動。
    • False positive:未發現惡意活動。
    • Benign true positive:調查確認存在一個對組織不構成風險的真正安全威脅。良性真正陽性是滲透測試或您環境中其他合法活動的結果。
    • 值得注意: Trend Vision One 偵測到異常活動,需要進一步調查。
    • -:調查沒有發現任何結果。
  • Priority:案件所有者分配的優先級。
    • P0:最高優先級
    • P1:優先級低於 P0,但高於 P2 和 P3
    • P2:優先級低於 P0 和 P1,但高於 P3
    • P3:最低優先順序
  • Type:案件類型
    • Workbench
    • Forensics
    • Risk Event
    • Compliance Management
    • Others
  • Owners:分配給此案件的Trend Vision One帳戶。
  • Created:案件建立的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
  • Created by:建立此案例的Trend Vision One使用者、劇本或第三方應用程式
  • Closed by:關閉案件的Trend Vision One使用者、劇本或第三方應用程式。
  • Last updated:案件最後更改的時間
    • All
    • Last 24 hours
    • Last 3 days
    • Last 7 days
    • Last 30 days
    • Custom period
按一下「Add filter」以取得其他選項:
  • 優先順序
  • 已建立
  • Last updated
  • 類型
  • Created by
  • Closed by
  • Associated item
更改案件狀態
選取一個或多個案件並點選Change Status以更新案件進度。
在網路風險暴露管理中,當所有相關的風險事件已被修復、接受或駁回時,案件會自動變更為 Closed。如果並非所有風險事件都已解決,您可以在手動關閉案件時更改風險事件的狀態。
更改案件調查結果
選取一個或多個案例,然後點選Change Findings以更新案例的發現。
更改案件優先順序
選取一個或多個案件並點選Change Priority以更新案件的優先順序。
將檔案附加到案件
點擊案例名稱以打開案例詳細資訊,然後點擊Attach Files
您所在的組織在案件管理中可以上傳最多一 GB 的附件檔案。
生成調查報告
重要
重要
這是一個預發布的子功能,並不是正式商業版或一般發布版的現有功能的一部分。使用此子功能前,請先查看預發佈子功能免責聲明
如果您在Trend Companion中已啟動生成式AI,點擊案例名稱並前往趨勢伴侶「Generate investigation report」趨勢伴侶會為該案例生成安全威脅調查和修復報告,您可以通過前往Dashboards and ReportsReports來預覽、編輯和下載。
此操作僅適用於具有真正陽性發現的Workbench案例。
建立案例摘要
重要
重要
這是一個預發布的子功能,並不是正式商業版或一般發布版的現有功能的一部分。使用此子功能前,請先查看預發佈子功能免責聲明
如果您在 Trend Companion 中已啟動生成式 AI,點擊案例名稱並前往 趨勢伴侶「Summarize case」趨勢伴侶 總結了自上次創建進度摘要筆記以來在案例中創建的所有筆記。
摘要會作為活動下的一個條目出現。摘要進度記錄在將案件轉移給新負責人時非常有用。
指派擁有者
選擇一個或多個案例,然後點擊Assign Owners,以在您的組織內指派帳戶到該案例。
指派擁有者有以下限制:
  • 僅限 IdP 的 SAML 群組使用者:
    • 您只能指派已登入且仍在Trend Vision One中快取的使用者。
    • User Accounts 無法列出 IdP 專用 SAML 群組下的所有使用者。
  • IdP-only SAML groupsIdP-only SAML group users 無法接收電子郵件通知。
更改受影響的資產
對於在網路風險暴露管理中建立的案例,您可以選擇特定受影響的資產,並將資產移至不同的案例或從案例中移除資產。您只能在涉及相同風險事件的案例之間移動資產。
開啟子案件
相關案件是獨立的子案件,讓您能夠靈活地將複雜的調查分成小的子案件。相關案件為主要案件提供詳細資訊。
找到一個案件,點擊options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png並選擇Open Related Case。新案件會自動與主案件連結。
將鑑識工作區新增至子案件
選取鑑識案件,然後按一下Create Forensics Workspace
新的取證工作區會自動新增到相關案件中作為關聯項目。取證工作區包括所有屬於Workbench警報/洞察影響範圍的端點。
編輯其他通知
對於在網路風險暴露管理中建立的案例,點擊edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png以在描述中指定接收通知的電子郵件地址。
啟用與 ServiceNow 的整合
點擊 gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png「整合設定」整合 ServiceNow
與 ServiceNow 整合可讓您將案件管理票證發送至 ServiceNow ITSM,以便在 ServiceNow 入口網站中進行管理。僅支援從自動回應劇本建立的Workbench案件。
自訂欄位
點擊columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg以選擇在Case Management中顯示的欄位。
重新整理資料
點擊 refresh=5bd75452-c2fb-43ed-90e6-7b552fdc5dd2.png 以獲取最新的案件資訊。
匯出案例到 CSV 檔案
選擇案例並點擊匯出以建立案例資料的報告。Case Management將資料儲存為逗號分隔值 (CSV) 檔案。您也可以在報告應用程式中查看和下載該檔案。
相關資訊