创建和管理调查

当警报被触发时,InsightIDR允许您开始对事件进行调查。调查可以是手动的或自动的。当InsightIDR检测到您网络内的恶意或可疑活动时,会自动从警报中创建调查。手动调查可以由操作人员打开。您可以将网络数据、日志或取证作业数据添加到调查中,以将其上下文化。

你可以修改检测规则适合您的需求或改变提醒设置

通过警报创建的调查

当从警报生成调查时,只要它仍然打开,就会添加相同类型和相同键的相关警报。UBA规则触发的警报具有基于调查的警报类型和上下文的相关密钥。例如,此键可以是受影响的用户,源用户,资产受影响或源资产,具体取决于情况。如果发生了相同键的其他事件,则会自动添加到现有的调查中,如果打开。

创建调查

您还可以开辟新的调查来搜索特定的东西。选择新调查并输入新调查的名称。

添加数据

一旦创建了新的调查,您就可以向调查添加数据,比如端点或资产数据、网络数据和原始日志。看到为调查添加数据想要查询更多的信息。

导出数据

您还可以将数据导出到PDF文档或将其发送到数据出口商(如ServiceNow)。PDF可用报告档案

导出数据将具有UTC时间戳。

关闭调查

最后,你可以结束调查。选择是否希望对任何资产的利用缓解过程发出警报。

您可以在“详细信息”页面中关闭调查。

或者,您可以从调查时间表中关闭调查。

Allowlist规则

当您关闭调查时,有时选择“请勿警报...”如果要允许资产或用户在触发调查的同一操作再次发生时,请选择此选项。

您可以在下面创建和查看用户行为分析(UBA)规则的修改检测规则>警报修改

允许攻击者行为分析(ABA)规则的资产或用户,创建一个例外.导航到检测规则>攻击者行为分析并单击检测规则创建异常。

管理调查

在调查时间表中,您可以通过以下方式过滤调查:

  • 日期范围
  • 状态
  • 攻击链警报
  • 警报类型
  • 威胁
  • 谁负责调查
  • 调查是由谁发起的
  • [预定的法医工作]的类型(doc:预定的法医工作

分配调查

您现在可以为个人用户分配开放调查,并确切地知道您的团队正在努力的内容。每当被分配到新调查时,用户会收到一封电子邮件。

点击“分配”下拉框,输入要分配的用户名。

调查注意事项

您可以根据需要添加备注进行调查。在“调查”页面上,您可以看到开放调查有多少笔记。

点击进入调查的细节查看准确的笔记,或者自己添加笔记。