调查与修复威胁
威胁检测仅是有效安全运营的第一步。一旦发现可疑活动,您的团队必须调查背景信息、确认严重性并采取适当措施。 安全数据湖 提供内置工具来简化此流程,使分析人员能够清晰高效地从检测过渡到响应。
本文档此部分介绍的关键功能可帮助您协作处理案例、收集支持证据并定义一致的响应措施,从而提升组织的安全态势。
调查
以下功能专属于 安全数据湖 安全 . 安全数据湖 安全是 安全数据湖 集中式日志管理平台,需单独许可。请联系 安全数据湖 销售 团队获取该产品详情。
调查 提供结构化方式,将仪表板、日志、保存的搜索和事件等证据整合至单一工作区。分析人员可快速创建调查、关联事件、优先处理任务并分配责任人,从而简化协作并加速事件分析。
调查还支持完整工作流,如更新状态、执行批量操作及 生成AI驱动的报告 以总结发现结果。
安全数据湖 可自动 为每个触发的警报创建新调查 或将警报作为证据添加至现有调查。该集成通过将警报组织为结构化调查来简化事件响应,帮助分析人员高效管理并优先处理安全事件,无需人工操作。
补救
当调查启动或事件被确认为安全问题时,下一步是采取既定措施进行遏制、缓解或解决威胁。 安全数据湖 提供两项互补功能以支持标准化补救工作流。
事件规程
以下功能专属于 安全数据湖 安全 . 安全数据湖 安全属于 安全数据湖 集中式日志管理平台的一部分,需单独许可。请联系 安全数据湖 销售 团队获取该产品详情。
事件处理流程 通过引导分析人员执行预定义的可操作步骤(如运行搜索、导航至仪表板或发送通知),直接在 安全数据湖 界面中提供结构化、可重复的安全事件响应框架,类似于事件响应手册。它们支持基于事件的动态上下文变量,可在多个规则和检测器中复用,并包含基于角色的访问控制,以确保安全、一致且高效的补救措施。
补救步骤
补救步骤 允许您在环境中发现可疑活动时记录并标准化必要的响应措施。这些步骤可根据组织需求定制,并直接关联到调查或安全事件。将补救措施整合到调查工作流中,可确保响应的一致性和完整性,并通过使安全操作透明且可重复来支持审计和合规工作。