创建和管理调查

当警报被触发时，InsightIDR允许您开始对事件进行调查。调查可以是手动的或自动的。当InsightIDR检测到您网络内的恶意或可疑活动时，会自动从警报中创建调查。手动调查可以由操作人员打开。您可以将网络数据、日志或取证作业数据添加到调查中，以将其上下文化。

你可以修改检测规则适合您的需求或改变提醒设置．

通过警报创建的调查

当从警报生成调查时，只要它仍然打开，就会添加相同类型和相同键的相关警报。UBA规则触发的警报具有基于调查的警报类型和上下文的相关密钥。例如，此键可以是受影响的用户，源用户，资产受影响或源资产，具体取决于情况。如果发生了相同键的其他事件，则会自动添加到现有的调查中，如果打开。

您还可以开辟新的调查来搜索特定的东西。选择新调查并输入新调查的名称。

一旦创建了新的调查，您就可以向调查添加数据，比如端点或资产数据、网络数据和原始日志。看到为调查添加数据想要查询更多的信息。

您还可以将数据导出到PDF文档或将其发送到数据出口商（如ServiceNow）。PDF可用报告档案．

最后，你可以结束调查。选择是否希望对任何资产的利用缓解过程发出警报。

您可以在“详细信息”页面中关闭调查。

或者，您可以从调查时间表中关闭调查。

当您关闭调查时，有时选择“请勿警报...”如果要允许资产或用户在触发调查的同一操作再次发生时，请选择此选项。

您可以在下面创建和查看用户行为分析(UBA)规则的修改检测规则>警报修改．

允许攻击者行为分析（ABA）规则的资产或用户，创建一个例外．导航到检测规则>攻击者行为分析并单击检测规则创建异常。

在调查时间表中，您可以通过以下方式过滤调查:

您现在可以为个人用户分配开放调查，并确切地知道您的团队正在努力的内容。每当被分配到新调查时，用户会收到一封电子邮件。

点击“分配”下拉框，输入要分配的用户名。

您可以根据需要添加备注进行调查。在“调查”页面上，您可以看到开放调查有多少笔记。

点击进入调查的细节查看准确的笔记，或者自己添加笔记。

这个页面对你有帮助吗？