创建和管理调查
当警报被触发时,InsightIDR允许您开始对事件进行调查。调查可以是手动的或自动的。当InsightIDR检测到您网络内的恶意或可疑活动时,会自动从警报中创建调查。手动调查可以由操作人员打开。您可以将网络数据、日志或取证作业数据添加到调查中,以将其上下文化。
通过警报创建的调查
当从警报生成调查时,只要它仍然打开,就会添加相同类型和相同键的相关警报。UBA规则触发的警报具有基于调查的警报类型和上下文的相关密钥。例如,此键可以是受影响的用户,源用户,资产受影响或源资产,具体取决于情况。如果发生了相同键的其他事件,则会自动添加到现有的调查中,如果打开。
创建调查
您还可以开辟新的调查来搜索特定的东西。选择新调查并输入新调查的名称。
添加数据
一旦创建了新的调查,您就可以向调查添加数据,比如端点或资产数据、网络数据和原始日志。看到为调查添加数据想要查询更多的信息。
导出数据
您还可以将数据导出到PDF文档或将其发送到数据出口商(如ServiceNow)。PDF可用报告档案.
导出数据将具有UTC时间戳。
关闭调查
最后,你可以结束调查。选择是否希望对任何资产的利用缓解过程发出警报。
您可以在“详细信息”页面中关闭调查。
或者,您可以从调查时间表中关闭调查。
Allowlist规则
当您关闭调查时,有时选择“请勿警报...”如果要允许资产或用户在触发调查的同一操作再次发生时,请选择此选项。
您可以在下面创建和查看用户行为分析(UBA)规则的修改检测规则>警报修改.
允许攻击者行为分析(ABA)规则的资产或用户,创建一个例外.导航到检测规则>攻击者行为分析并单击检测规则创建异常。
管理调查
在调查时间表中,您可以通过以下方式过滤调查:
- 日期范围
- 状态
- 攻击链警报
- 警报类型
- 威胁
- 谁负责调查
- 调查是由谁发起的
- [预定的法医工作]的类型(doc:预定的法医工作
分配调查
您现在可以为个人用户分配开放调查,并确切地知道您的团队正在努力的内容。每当被分配到新调查时,用户会收到一封电子邮件。
点击“分配”下拉框,输入要分配的用户名。
调查注意事项
您可以根据需要添加备注进行调查。在“调查”页面上,您可以看到开放调查有多少笔记。
点击进入调查的细节查看准确的笔记,或者自己添加笔记。