- 查看詳細資訊
在 Vision One console > XDR THREAT INVESTIGATION > Workbench > 點選您要查看的 Workbench ID,即可看到類似下圖的畫面:
點選上圖左下角紅框中的圖示(依照不同事件產生),可以看到更近一步的網路或程序資訊:
點選上圖左下角紅框中的圖示(依照不同事件產生),可以看到更近一步的網路或程序資訊:
- Network Analytics Report
- Execution Profile
- 緊急處置
- 主機隔離
- 在主機圖示上點選滑鼠右鍵,在右鍵選單中選擇「Isolate Endpoint」
- 可在 Description 中輸入註記資訊,點選「Create」
- 完成後,該主機就沒有網路通訊,僅剩與 Vision One 的通訊(解除隔離使用)
- 在主機圖示上點選滑鼠右鍵,在右鍵選單中選擇「Isolate Endpoint」
- 加入阻擋清單
- 在檔案圖示上點選滑鼠右鍵,在右鍵選單中選擇「Add to Block List」
- 可在 Description 中輸入註記資訊,點選「Create」
- 完成後,該檔案就會被加入阻擋清單,即可避免所有主機的相同檔案被執行
- 在檔案圖示上點選滑鼠右鍵,在右鍵選單中選擇「Add to Block List」
- 主機隔離
沙箱分析
- 執行此動作有兩個要件,否則 Create 按鈕會呈現灰色,無法點選:
- 建立送件的畫面上方會顯示保留多少 credits 配置為每日分析的數量。
- 每次分析需要50個 credits,每日使用量會歸零。今天使用的次數,明天會重新計算。
- 若餘額不足,可再從 THREAT INTELLIGENCE > Sandbox Analysis > Submission Settings 進行配額調整。
- 要送件分析的目標主機,在操作這個動作時,必須開機並且正常和 Vision One 連線。
- 建立送件的畫面上方會顯示保留多少 credits 配置為每日分析的數量。
- 在 Vision One console > XDR THREAT INVESTIGATION > Workbench > 點選您要查看的 Workbench ID,在檔案圖示上,點擊滑鼠右鍵,在右鍵選單中選擇「Submit for Sandbox Analysis」
- 按下 Create 即可將檔案送至沙箱分析
- 送件之後,就可以到 THREAT INTELLIGENCE > Sandbox Analysis 查看,一旦 Status 狀態為 Done,代表分析完成。
- Risk level 欄位代表分析樣本是否具有威脅:
- No risk 代表這個檔案或是 URL 沒有威脅
- High / Medium / Low 分別代表 高、中、低 的威脅等級
- Not analyzed 代表這個檔案或是 URL 無法進行分析,游標停在 i 圖示上,即可知道無法分析的原因。
- 送件須知:
- 需要3-7個工作天不等
- 需要ZIP格式壓縮檔案,且密碼設定為 vius
- 上班時間撥打技術支援電話(02-2377-2323)語音選單請選 1
- 在 Vision One console > XDR THREAT INVESTIGATION > Workbench > 點選您要查看的 Workbench ID,在檔案圖示上,點擊滑鼠右鍵,在右鍵選單中選擇「Collect File」
- 按下 Create 即可收集該檔案
- 收集之後,切換到 WORKFLOW AND AUTOMATION > Response Management ,就可以看到剛才建立的收集檔案工作
- 只要該 Task ID 變成綠色打勾,就可依照上圖紅色游標標示位置點選,再點選 Download File
- 按下 Download 即可以下載檔案,解壓縮密碼則參照當下畫面顯示。後續就可以依照送件需求,提出樣本分析。
- 請洽詢業務,業務將調派資源前往協助。
- 在 Vision One console > XDR THREAT INVESTIGATION > Workbench > 點選您要查看的 Workbench ID,點選「View event」(如紅色箭頭標示位置)
- 在 processCmd 那一行的指令中點選滑鼠右鍵,在右鍵選單中點選「Add to Exceptions」
- 可在 Description 中輸入註記資訊,點選「Add」
- 完成後,該指令就會被加入例外清單,即可避免因為相同行為再度被偵測