Omówienie

Karta Przegląd zawiera informacje o sprawie i statusie trwających dochodzeń prowadzonych przez IBM Security Threat Investigator. Można wyświetlić widok podsumowania kluczowych informacji o sprawie, takich jak istotność zautomatyzowanej sprawy, spostrzeżenia, lista zadań, powiązane sprawy, status książki odtwarzania i artefakty. Można zejść niżej do dowolnej z tych sekcji.

Karta Przegląd udostępnia kluczowe informacje dotyczące sprawy w jednym widoku, udostępniając wgląd w istotność sprawy, status i dochodzenia w sprawie. Na przykład można wyświetlić zautomatyzowaną istotność przypisaną do sprawy, postęp zadań sprawy, spostrzeżenia na platformie QRadar , status podręcznika odtwarzania, szczegóły wszystkich artefaktów sprawy i powiązane sprawy.

Poniższy rysunek przedstawia przykład przeglądu przypadku.
przykład istotności zautomatyzowanego przypadku
Kliknij odsyłacze na karcie, aby wyświetlić bardziej szczegółowe informacje:
  • Kliknij odsyłacz Wyświetl szczegóły w sekcji Szczegóły sprawy, aby przejść do karty Szczegóły zawierającej obszerne szczegóły sprawy.
  • Kliknij dowolne spostrzeżenie, aby otworzyć widok z boku tego spostrzeżenia, lub kliknij opcję Wyświetl spostrzeżenia , aby wyświetlić wszystkie spostrzeżenia na karcie Dowód .
  • W sekcji Lista zadań można kliknąć pojedyncze zadanie, aby wyświetlić to zadanie, lub kliknąć opcję Wyświetl zadania , aby przejść do wszystkich zadań dla sprawy.
  • Kliknij opcję Wyświetl artefakty , aby przejść do karty Dowód sprawy.
  • lub kliknij opcję Wyświetl podręczniki , aby przejść do okna Postęp programu Playbook.
W poniższym przykładzie przedstawiono widok boczny spostrzeżenia, w którym wyświetlane są jego szczegóły i powiązane artefakty.
obraz-widok boczny z pokrewnymi artefaktami

Sprawdzanie zautomatyzowanych komponentów istotności

Platforma QRadar przypisuje do sprawy zautomatyzowaną istotność, która ułatwia szybkie identyfikowanie spraw o wysokim priorytecie. Zautomatyzowana istotność jest wyświetlana w obszarze Szczegóły sprawy na karcie przeglądu, a także na liście spraw.

Aby lepiej zrozumieć, w jaki sposób do elementu pracy przypisano jego zautomatyzowaną istotność, kliknij pigułkę Zautomatyzowana istotność , aby otworzyć widok boczny Istotność elementu pracy , tak jak to pokazano na poniższej ilustracji.
Otaczający tekst opisuje tę grafikę, która jest obrazkiem stanu interfejsu użytkownika.

Widok istotności przypadku przedstawia dane używane do przypisania istotności zautomatyzowanej, w tym spostrzeżenia powiązane z istotnością przypadku.

Na wykresie można kliknąć ikonę istotności, aby filtrować wyniki według istotności Krytyczne, Wysokie, Średnie, Niskiei Nieistotne.
przykład wyświetlania filtrowania według spostrzeżeń
Na liście kliknij spostrzeżenie, aby wyświetlić szczegóły spostrzeżeń i wzbogacenia, które przyczyniły się do istotności spostrzeżenia.
przykład spostrzeżenia

Na wykresie kliknij ikonę istotności, aby filtrować według istotności.

Istnieją trzy typy wyszukiwania wzbogaceń, reguł, informacji o zagrożeniach lub wzbogaceń opartych na uczeniu maszynowym.
Wzbogacenia oparte na regułach
Są to wzbogacenia zgodne z określonymi regułami. W poniższym przykładzie przedstawiono wzbogacanie oparte na regułach.
przykład wzbogacenia
Wzbogacenia oparte na danych wywiadowczych o zagrożeniach
Pewne wzbogacenie jest dokonywane przez służby wywiadowcze.
Wzbogacanie oparte na uczeniu maszynowym
Wzbogacanie uczenia maszynowego przedstawia szczegóły wzbogacania, w tym najważniejsze wskaźniki, istotność i stopień ufności. Przykładem wzbogacania opartego na uczeniu maszynowym jest wynik oparty na alertach historycznych.
Aby uniknąć duplikatów, dodatkowe wzbogacenia w tej samej kategorii są grupowane i wyświetlana jest ikona grupy. Te zgrupowane wzbogacenia mogą również mieć wpływ na istotność wzbogacania. Podczas wyświetlania zgrupowanych wzbogaceń o najwyższej istotności są one porządkowane u góry listy.

Kliknij dowolne wzbogacanie, aby wyświetlić szczegóły wzbogacania. Aby wrócić do spostrzeżenia, które zawiera wzbogacenia, kliknij przycisk Wstecz w górnej części widoku bocznego. W widoku spostrzeżenia na pasku bocznym można kliknąć opcję Idź do spostrzeżenia , aby przejść do szczegółowego widoku spostrzeżenia, który przedstawia obszerne szczegóły spostrzeżenia, w tym artefakty, wzbogacenia i spostrzeżenia pokrewne.

W poniższym przykładzie przedstawiono przegląd informacji i danych, które spowodowały istotność elementu pracy.

  • Ten przykład rozpoczyna się od listy obserwacji. Wybierz przypadek i na karcie Przegląd przypadku kliknij opcję Istotność przypadku , aby otworzyć widok z boku Istotność przypadku .
  • Kliknij ikonę Krytyczne , aby filtrować według krytycznych spostrzeżeń. Stąd możemy zobaczyć różne wzbogacenia związane ze znalezieniem.
  • Oglądamy bogactwa, a potem wracamy do widoku z boku.
  • Na koniec przechodzenie z widoku bocznego Spostrzeżenia do widoku szczegółów Spostrzeżenia na karcie Dowody .