调查与修复威胁
威胁检测仅是有效安全运营的第一步。当发现可疑活动后,您的团队必须调查背景信息、确认严重性并采取适当措施。 安全数据湖 提供内置工具来简化此流程,使分析人员能够清晰高效地从检测过渡到响应。
本文档此部分介绍的关键功能可帮助您协作处理案例、收集佐证证据并制定一致的响应措施,从而提升组织安全态势。
调查
以下功能专属于 安全数据湖 安全 . 安全数据湖 安全是 安全数据湖 集中式日志管理平台的一部分,需要单独许可。请联系 安全数据湖 销售 团队以获取该产品的更多信息。
调查 提供了一种结构化方式来收集和组织证据(如仪表板、日志、保存的搜索和事件)至单一工作区。分析人员可快速创建调查、关联事件、优先处理任务并分配所有权,从而简化协作并加速事件分析。
调查还支持完整工作流,例如更新状态、执行批量操作及 生成AI驱动的报告 以总结调查结果。
安全数据湖 可自动 为每个触发的警报创建新调查 或将警报作为证据添加到现有调查中。该集成通过将警报组织成结构化调查来简化事件响应,帮助分析人员高效管理并优先处理安全事件,无需人工干预。
补救
一旦调查启动或事件被确认为安全问题,下一步即采取补救措施——执行定义的操作以遏制、缓解或解决威胁。 安全数据湖 提供两项互补功能以支持一致的补救工作流。
事件规程
以下功能专属于 安全数据湖 安全 . 安全数据湖 安全是 安全数据湖 集中式日志管理平台,需单独许可。请联系 安全数据湖 销售 团队获取该产品详情。
事件处置流程 通过引导分析人员在 安全数据湖 界面内执行预定义的可操作步骤(如运行搜索、跳转至仪表盘或发送通知),提供结构化、可复用的安全事件响应框架,类似事件响应预案。支持基于事件的动态上下文变量,可跨多规则和检测器复用,并包含基于角色的访问控制,确保安全、一致且高效的补救措施。
补救步骤
补救步骤 用于在环境中发现可疑活动时,记录并标准化必要的响应措施。这些步骤可根据组织需求定制,并直接关联调查或安全事件。将补救措施集成到调查工作流中,可确保响应的一致性和完整性,通过透明且可重复的安全行动支持审计与合规工作。