觀察值清單

案例 」頁面會顯示您有權檢視的案例。 「 觀察值 」頁面提供觀察值的概觀,但您可以透過選取直欄來決定要顯示哪些資訊。

選取 功能表> 我的應用程式> 案例管理,以移至案例清單頁面,如下圖所示。

周圍文字說明此圖形,這是使用者介面的 Snapshot。

若要控制案例清單中顯示的資訊,請按一下右側的 自訂直欄 ,然後勾選您要檢視的直欄,並清除您要隱藏的直欄。 您也可以拖曳直欄來重組資訊。

您可以按一下 切換視圖 圖示,將佈置從表格視圖變更為看板視圖。 按一下設定圖示,以變更卡片上顯示的直欄。 您也可以展開或收合任何線道,並向下或橫向捲動以查看更多觀察值。 展開或收合案例上的 額外資訊 區段,以檢視更多詳細資料。 從動作功能表中,您可以對案例採取動作。 過濾器 功能表可讓您過濾。
附註: 您對直欄或過濾器所做的變更會同時套用至表格及看板視圖。

自動化嚴重性

為了協助您設定最重要案例的優先順序, QRadar 平台 會自動將嚴重性指派給案例,稱為 自動化嚴重性自動化嚴重性 是根據 QRadar 平台 相關性引擎所執行的相關性來計算。
附註: 外部應用程式所建立的案例未指派自動嚴重性,因為它們未通過 QRadar 平台 相關性引擎。
指派給案例的自動嚴重性是「嚴重」、「高」、「中」、「低」、「良性」其中之一。 下列案例清單顯示已指派自動嚴重性的案例範例。
自動化嚴重性範例

自動化案例嚴重性是根據其強化構件和發現項目的嚴重性總和。 在判斷案例嚴重性時,每一個唯一構件和發現項目只會計數一次。

當利用環境定義來強化構件或發現項目時,會根據強化和威脅情報服務所提供的資訊來計算其嚴重性。 強化和威脅情報服務的結果會根據一段時間的效能來加權。 如果相同構件有來自不同來源的不同嚴重性,這個加權有助於設定優先順序。

案例的自動嚴重性是其每一個唯一構件的嚴重性總計,其中構件是與案例中每一個發現項目相關聯的那些嚴重性。 大量發現項目可能會增加案例的嚴重性,即使發現項目個別具有低嚴重性,因為它們可能有不同的構件,其嚴重性評分結合時,會達到較高嚴重性的臨界值。 自動嚴重性基於從 -10 到 10 範圍計算的數值評分,其中:
  • 10 是重要。
  • 7 到 9 是「高」。
  • 4 到 6 是中
  • 1 到 3 是「低」。
  • 從 0 到 -10 的任何值都是「良性」。

相關性處理程序與強化同時完成。 在相關性處理程序期間,發現項目會產生關聯,且會決定其累積嚴重性。

這些結合的因素會一起用來決定案例的自動嚴重性。 如果新的警示或發現項目自動與案例產生關聯,或者如果您執行新的調查,則自動化案例嚴重性可能會變更。

發現項目的嚴重性

QRadar 平台 利用環境定義和其他資訊來強化構件和發現項目,這有助於判斷構件和發現項目的嚴重性。 構件用來判斷發現項目的嚴重性。 多個構件可以與一個發現項目相關聯,因此個別構件的嚴重性會對發現項目的整體嚴重性產生累加影響。 此外,強化規則也有自己的嚴重性,會影響它所觸發之發現項目的嚴重性。

發現項目的嚴重性是與發現項目相關聯之每一個唯一構件的嚴重性總計。