XDR 安全威脅調查

2025年4月14日—Workbench 洞察現在有洞察級別的網路分析報告。

網路分析報告顯示工作台洞察中包含的物件之間的網路關聯。該報告提供全面的分析，幫助您監控、管理和識別您環境中的異常網路流量。了解更多。

2025 年 4 月 7 日—現在支援端點和容器叢集的資產標記。Trend Vision One 現在可以使用資產活動和偵測資料來豐富您自訂的標籤，讓您能夠利用搜尋和偵測模型管理。

2025 年 3 月 24 日—您現在可以根據搜尋查詢建立自訂篩選器來監控可疑事件。將多個自訂篩選器結合成自訂偵測模型，以便於貴組織的安全威脅狩獵過程。

如需詳細資訊，請參閱 篩選查詢格式。

2025年3月10日—偵測模型管理現在提供預建範本，幫助您更有效地建立自訂篩選器。

篩選範本作為起點，您可以自訂以偵測您環境中的特定事件。每個範本都附有預定義的設定和查詢，您可以根據您的安全需求進行修改，使您能夠更輕鬆地實施偵測規則，而無需從頭開始。

如需詳細資訊，請參閱 使用範本來建立自訂過濾器。

2025 年 2 月 24 日—Detection Model Management 現在支援在使用多個篩選器建立自訂偵測模型時使用邏輯運算子（AND、OR）。

新的邏輯運算符允許您指定警報觸發的條件是所有篩選器都達到其閾值（AND），還是任何篩選器達到其閾值（OR）。

如需詳細資訊，請參閱 配置自訂模型。

2024年12月9日 — Companion 現在在您使用 Workbench Insights 時，會建議相關的觀察攻擊技術事件。此功能幫助安全運營中心（SOC）分析師進行更徹底的調查，通過識別和納入相關事件。

2024年12月9日 — 工作台警報現在包含MITRE戰術、技術和程序（TTP）通知。

2024年12月9日 — Companion 使用機器學習來識別重要或誤報的工作台見解，並主動建議一個指導工作流程以進行調查和修復。

2024年12月4日—工作台用戶可以從“高亮物件”標籤的上下文菜單中訪問響應操作和詳細資料。

2024年11月25日—當關閉與洞察相關的案件時，使用者可以關閉該洞察的所有工作台警報。如果這些相關警報尚未有調查結果，它們可以繼承案件的調查結果。已有調查結果的警報將保留那些調查結果。

2024年11月18日—使用MESSAGE_ACTIVITY事件類型和COLLABORATION_ACTIVITY事件ID創建自定義檢測過濾器，以增強電子郵件和協作活動檢測。

如需詳細資訊，請參閱 電子郵件和協作活動資料來源。

2024年10月4日—案件管理和工作台現在支援將SAML群組和僅限IdP的SAML群組分別指派為警報和案件所有者。

如需詳細資訊和限制，請參閱線上說明中的 案件管理 和 工作台。

2024年8月30日—檢測模型管理現在支援使用存儲桶名稱為您的Amazon S3存儲桶創建檢測例外。將匹配條件欄位類型設置為cloud_identifier，選擇requestParameters.bucketName作為欄位，並提供存儲桶名稱。

2024年8月5日—在搜尋應用程式中使用觀察到的攻擊技術搜尋方法時，您可以在 Trend Companion 的幫助下了解更多有關您環境中檢測到的事件。

如需詳細資訊，請參閱 Trend Companion。

2024 年8月 2 日 — 您現在可以使用上下文選單將 IP 位址和網域新增到信任網域清單、信任服務來源清單或網路群組清單，從而增強來自連接的 Deep Discovery Inspector 設備和虛擬網路感測器的未來偵測。

2024年7月1日—自訂偵測過濾器現在支援AWS VPC流量日誌活動，屬於CLOUD_ACTIVITY事件類型和VPC_ACTIVITY_LOG事件ID。

如需詳細資訊，請參閱 網路活動資料 和 雲端活動資料來源。

2024年6月19日—在 Trend Vision One - Companion 的幫助下，更好地了解在您環境中檢測到的觀察攻擊技術事件。

如需詳細資訊，請參閱 Trend Companion。

2024年5月8日—在 Trend Vision One - Companion 的幫助下，更好地了解在觀察到的攻擊技術中檢測到的事件和執行的命令。

如需詳細資訊，請參閱 觀察到的攻擊技術。

2024年5月6日—您現在可以在偵測模型管理中創建包含身份和訪問活動資料過濾器的自訂模型。

如需詳細資訊，請參閱 配置自訂模型。

2023年4月22日—您現在可以在偵測模型管理中創建和導入包含正則表達式的自定義過濾查詢。欲了解詳細資訊，請參閱在自定義過濾器中使用正則表達式。

2023年4月8日—您現在可以在Forensics應用程式中請求多因素驗證以進行證據收集、osquery和YARA規則掃描。

2024年1月29日 — Forensics 中的證據報告新Highlights部分顯示在收集的證據中發現的所有高風險證據。使用Highlights部分作為您調查的起點。

2024年1月29日 — Forensics 現在在工作區視圖中顯示以下有關您端點的信息：

2023年1月11日 — Forensics 應用程式現在允許您在 Linux 端點上執行 YARA、osquery 和 Collect Evidence 任務，使您能夠更好地監控和分析您環境中的 Windows 和 Linux 端點。

如需了解這些任務的詳細資訊，請參閱 回應動作。

2024年1月9日 — 現在可以根據狀態過濾YARA和osquery任務的查詢結果，以提供簡要的防護總覽。通過將滑鼠懸停在端點名稱旁邊的狀態圖標上，可以快速找到任務失敗的原因。

2024年1月8日 — 客戶現在可以在調查Workbench、Observed Attack Techniques或Search應用程式中的安全威脅事件時，終止可能受損的Amazon Elastic Container Service任務。

2023年12月11日 — 您現在可以右鍵點選URL、域名、IP或文件SHA-1，並選擇“VirusTotal”以便徹底調查您環境中的可能威脅。

2023年12月11日 — 在調查過程中，使用者可以執行多輪 osquery 或 YARA 任務，以縮小受影響的端點範圍。任務名稱現在可以自訂，以便輕鬆區分多輪任務結果。

2023年12月11日 — Forensics 中的工作區現在提供了所有與工作區相關任務的快速連結。點選 Related Tasks 按鈕，前往 Task List 標籤中的預先已過濾列表，您可以在那裡查看工作區相關任務的狀態和結果。

2023 年 12 月 11 日 — 由趨勢科技主動雲端截毒技術服務（如網頁信譽評等服務）提供支持，Forensics 應用程式現在可以豐富作為證據收集的網路相關資料。您現在可以查看您收集並添加到 Forensics 工作區的特定 URL、IP 位址和網域名稱的評分及相應的風險等級。

2023 年 12 月 1 日 — 目標攻擊偵測已經結束預覽階段，現在正式發布。目標攻擊偵測可免費使用，因此任何 Trend Vision One 使用者都可以利用此應用程式來分析 Smart Feedback 資料，以判斷您的環境是否受到攻擊。

2023年11月10日 — 搜尋應用程式現在支援來自Cyborg Security的安全威脅狩獵查詢，以便在環境中識別難以捉摸的IOA。此外，使用者可以查看相關的情報報告，以幫助理解和解決網路攻擊。

2023 年 11 月 6 日 — 您現在可以在 Observed Attack Techniques 應用程式中按資料來源過濾安全事件資訊。按資料來源過濾可讓您評估不同 Trend Vision One 產品的個別資料貢獻。

2023年10月30日—案件管理現在提供與鑑識的整合。這使您能夠為工作台洞察或警報中包含的端點創建專門的鑑識工作區。從那裡，您可以在鑑識應用程式中執行快速回應，例如隔離、Osquery 和 YARA 進程掃描。

此外，您可以從取證中的端點收集高級數位證據，以進行更徹底的分析，識別根本原因並使用取證時間線構建攻擊鏈。

一旦您建立攻擊鏈，您可以將時間軸添加到案例中以記錄結果的位置資訊。

2023 年 10 月 30 日 — 偵測模型管理應用程式現在支援透過 YAML 檔案匯入和匯出自訂過濾器。使用者現在可以輕鬆地從 YAML 檔案匯入自訂過濾器，或將自訂過濾器匯出為 ZIP 檔案中的 YAML 檔案。

如需詳細資訊，請參閱 自訂過濾器。

2023年10月16日 — 一款新應用程式，Forensics，已正式推出。使用Forensics，您可以應對安全事件，進行妥協評估、安全威脅狩獵和監控。

取證功能允許您建立工作區。在工作區內，您可以隔離事件範圍並執行 osquery 和 YARA 以進行快速分類和調查。如果您需要更多有關事件的詳細資訊，您可以收集證據。證據收集會收集數位證據並將其上傳到 Trend Vision One 控制台。

鑑識提供證據查看和搜索功能，促進高級調查。隨著調查的進展，您可以添加帶有重要時間戳的筆記或在時間軸中創建自定義記錄。換句話說，鑑識時間軸是您使用收集的證據記錄來創建全面攻擊鏈報告的工具。

此外，您可以使用取證的證據存檔部分來管理事件回應劇本收集的所有證據。證據包可以添加到工作區，用於生成證據報告，並可隨時用於調查。

如需詳細資訊，請參閱 鑑識。

2023年10月16日 — 偵測模型管理應用程式已更新，以支援在自訂模型中使用多個自訂篩選器，每個模型最多可有五個自訂篩選器。使用者可以配置工作台，根據兩個額外的條件觸發警報：當自訂篩選器定義的事件發生時，或當自訂篩選器定義的事件按指定順序發生時。

如需詳細資訊，請參閱 配置自訂模型。

2023 年 9 月 30 日 — Observed Attack Techniques API 已更新以支援與容器相關的資訊，例如安全威脅或活動。SIEM 應用程式和客戶現在可以利用觀察到的攻擊技術管道端點來匯出觸發篩選器或容器事件的事件。這使得在匯出的事件中進行與容器安全相關的威脅和活動調查成為可能。

如需有關觀察到的攻擊技術 API 的詳細資訊，請參閱 https://automation.trendmicro.com/xdr/api-v3#tag/Observed-Attack-Techniques-Pipeline

2023年8月15日 — 為了促進容器攻擊的可見性，Observed Attack Techniques 應用程式已更新，以顯示所有來自容器安全點產品的篩選命中檢測事件。該應用程式現在在Associated Entity下列出容器名稱或ID，為客戶提供立即了解哪個實體被攻擊的資訊。客戶除了現有的搜尋條件外，還可以按容器名稱搜尋事件。

2023年8月1日 — 現在會顯示已停用的自訂過濾器的通知。通知包括在通知中心彈出的通知訊息，以及在Custom Filter標籤旁顯示的工具提示訊息和在Custom Model標籤旁顯示的相關模型名稱。

2023年7月4日 — 檢測模型管理應用程式現在提供使用搜尋查詢語法來建立自訂篩選器的功能。建立使用新自訂篩選器的自訂檢測模型，以觸發自訂觀察攻擊技術事件和工作台警報的生成。

自訂的觀察攻擊技術事件和工作台警報可由多個下游功能和服務訪問，包括觀察攻擊技術應用程式、工作台公共 API、小工具和第三方 SIEM 整合。此外，新的自訂檢測模型可由安全劇本應用程式利用，以創建自動化響應動作。

2024年4月8日—取證應用程式現在包含來自網路風險暴露管理的風險分數。取證調查員在工作區中新增端點時，可以優先考慮具有高風險分數的端點。新增後，每個端點的風險分數都有詳細的資料檔案以供進一步調查。