自動通知相關人員Workbench洞察進展,透過開啟或更新案件並發送包含 AI 生成摘要的電子郵件通知。
Workbench洞察進展更新劇本幫助安全團隊簡化溝通並加速回應,當Workbench洞察生成或更新時,自動通知相關人員。此劇本可以為洞察開啟或更新案件,並將洞察資訊的電子郵件通知發送給指定的收件人。通知和案件更新可以包含由生成式
AI 生成的洞察摘要,提供清晰且具上下文的資訊,以支援明智的決策。您可以配置劇本以根據分數、攻擊階段、警報嚴重性或案件狀態來針對特定洞察。
您必須啟用 XDR 安全威脅調查權限,並配置以下所需的資料來源,才能創建自動化回應劇本:XDR Endpoint Sensor 或 XDR 電子郵件 Sensor
步驟
- 移至
- 在Playbooks標籤上,選擇。
- 在「Playbook Settings」面板上,選擇「XDR detection」類型,指定一個唯一的名稱給劇本,然後點擊「Apply」。
- 在「Trigger Settings」面板上,選擇「Automatic or manual (executed from Workbench)」或「Manual (executed from Workbench)」作為觸發類型,然後點擊「Apply」。
-
Automatic or manual (executed from Workbench):Workbench洞察會自動觸發劇本執行。每次生成或更新洞察時,劇本都會被觸發。您也可以從Workbench手動觸發劇本執行。選擇「Execute playbook automatically only during specified period」並指定自動執行的日期和時間段。
注意
您可以在「Trigger Settings」中指定最多10組日期和時間段。 -
Manual (executed from Workbench):您需要從Workbench手動觸發劇本執行。
-
- 在Target Settings面板上,選擇並配置Target以用於劇本,然後點選Apply。
- 在「Target」下拉列表中,選擇「Workbench insight」。
- 在「Alert severity within insight」下拉選單中,選擇需要進度通知的Workbench洞察警報的嚴重性等級。
- 如果您希望劇本操作僅在特定分數範圍內觸發Workbench洞察,請選擇「Filter insights by score」,然後從下拉列表中選擇一個範圍或配置自定義範圍。
- 如果您希望劇本動作僅針對與特定攻擊階段相關的Workbench洞察觸發,請選擇「Filter insights by attach phase」,然後從下拉列表中選擇附加階段。
- 點選Target節點右側的新增節點(
),然後點選Condition。 - 通過指定Parameter、Operator和Value來創建條件設置。設定說明參數請指定以下選項之一作為參數:
-
Case
-
Insight score
-
Attack phase
-
Alert severity within insight
操作員-
IS:如果任何值匹配,則觸發條件
-
IS NOT:如果沒有符合的值,則觸發此條件
值請指定參數值。 -
- 點選Apply。
- 如果您需要新增多個平行的Condition節點,請點選Target節點右側的新增節點()。
- 如果您需要為Condition節點配置處理行動設定,請點擊右側的新增節點()來新增一個處理行動節點。如需詳細資訊,請參閱步驟7。
- 如果您需要配置 else-if 條件或 else 動作,請在 Condition 節點下點擊新增節點 () 來新增 Else-If Condition 或 Else Action 節點。如需詳細資訊,請參閱步驟9。
- 點選Target節點右側的新增節點(
- 透過新增處理行動節點來配置操作。
- 點選Condition節點右側的新增節點(),然後點選處理行動。
- 在「處理行動設定」面板上,配置針對目標Workbench洞察的案件相關操作。處理行動設定開啟新案件
-
若要在新案例中包含生成式 AI 生成的洞察摘要,請點擊「Turn on Generative AI」並選擇「Workbench insight summary」。
-
要從其他案例匯入相關內容,請選擇「Import case contents from cases with correlated alerts」。
-
要為案件指派優先級別,請選擇「Assign case priority」並選擇優先級別。
-
要從 Trend Vision One 指定案件擁有者,請選擇「Assign Trend Vision One case owners」並從「Owners」下拉列表中選擇擁有者。
注意
如果目標Workbench洞察已經存在案例,新的案例設定將覆蓋現有的案例。更新現有案件-
從可用選項中選擇案件的新狀態。
-
待辦
-
進行中
-
已關閉
-
-
選擇與案件相關的調查結果。
-
真正偵測
-
良性真正陽性
-
誤判
-
值得注意
-
其他發現
-
-
如果您有其他資訊或備註,請將其輸入到「Comment」文字框中。
-
- 點選Apply。
- 如果您需要添加多個並行操作,請使用Target或Condition節點右側的添加節點()。
- 點選Condition節點右側的新增節點(
- 通過添加第二個處理行動節點來配置通知設置。
- 點選第一個處理行動節點右側的新增節點(),然後點選處理行動。
- 在「處理行動設定」面板上,指定如何通知接收者洞察信息。處理行動設定發送洞察資訊的電子郵件通知
-
指定出現在通知主題行開頭的前綴。
-
若要在電子郵件通知中包含生成式 AI 生成的洞察摘要,請點擊「Turn on Generative AI」並選擇「Workbench insight summary」。
-
若要包含擴展的Workbench洞察詳細資訊及附件,請選擇「Attachments of alert list」、「Attachments of impact scope」和「Attachments of highlighted objects」。
-
指定收件人的電子郵件地址。
-
- 點選Apply。
- 點選第一個處理行動節點右側的新增節點(
- 如有需要,請配置Else-If Conditions或Else Actions。
注意
-
可以使用新增節點()添加的節點取決於前一個節點。例如,一個處理行動節點只能可能跟隨另一個處理行動節點;一個Condition節點可以跟隨一個處理行動節點,或者附加一個Else-If Condition或Else Action。
-
當條件為假時,劇本會執行Else Action或檢查其Else-If Condition是否符合。如果Else-If Condition符合,劇本會繼續執行相應的Else Action。
-
多個處理行動節點以串行模式配置時會依次執行。
-
- 通過切換啟動控制來啟用劇本。
- 點選儲存。劇本顯示在 安全劇本 應用程式的 Playbooks 標籤上。