安全事件警報調查處理是個繁瑣的工作，因為傳統檢測的作法是冗長的，而且通常必須手動收集數據，並逐個設備手動修復操作響應。多數企業缺乏警報處理能力，若採用的檢測工具越多，產生的警報也越多，假如警報整合不足，大量的警報與誤判將是一場瘟疫。而警報也需要專業知識人力與時間優化調整才能達到基本的效果。

事件發現從警報開始到自動調查 → 關聯性 → 自動修復，對企業來說是最佳與快速的事件處理方式。Cynet 360 AutoXDR 整合了次世代防毒引擎、端點檢測與響應、網路檢測響應、用戶行為分析、以及欺敵誘捕數據於單一平台，可監控企業的威脅全貌。其中事件引擎可自動執行高危風險威脅的全面調查，以發現事件的根本原因和攻擊範圍，並自動響應操作所有警報類型的自動修復措施。

Cynet 360 AutoXDR 的事件引擎使用數據自動進行威脅調查，超越其他安全產品的單一威脅的響應，協助確定檢測到的威脅是否是更大攻擊的一部分，如果是，則將進一步發現揭露相關的攻擊組件。

當檢測到威脅時，事件引擎首先啟動自動調查，以發現威脅的根本原因。判斷是從特定網站下載的、或嵌入文件中、還是附在電子郵件中？它是由尚未檢測到的惡意程式產生的? 還是從 RDP 連接植入的？自動根本原因分析將剝離這些層次，以確保所有的攻擊元素都暴露出來，最終揭露所謂的“零號病人”*的攻擊起源。

* 零號病人: ( patient zero )，在流行病學調查中是指在一定人群中的最初的病例。表示疾病的來源、可能的傳播以及多次爆發之間的傳染源.Source from internet.

一旦發現威脅的其他組件，Cynet 360 AutoXDR 會搜索整個環境以暴露攻擊的全部範圍。這包括在整個環境中採取適當的修復措施，可視企業的需求以自動或手動消除所有攻擊組件。

Cynet 自動事件調查和響應案例

圖 1 所示 Cynet 360 AutoXDR 警報頁面可發現危急風險的文件警報為惡意程式指令（Malicious Process Command），惡意文件為 wmic.exe. 主機名稱： prd-win7-1 ，從事件畫面描述展開，可看到整個事件的詳細的處理內容。

圖 1 ： Cynet 360 AutoXDR 警報頁，可查看事件的詳細處理內容

圖 2 顯示了 Cynet 360 AutoXDR 如何成功阻止惡意程式指令 LOLbin wmic.exe 在 prd-win7-1 上嘗試執行。

圖 2 ：Cynet 360 AutoXDR 成功阻止惡意程式執行

作為自動調查的一部分，事件引擎顯示該 wmic 程式已被 Cynet360 AutoXDR 自動響應終止，並阻止任何惡意文件的執行。識別出這個惡意指令首先是由排程任務執行。這是攻擊者用來繞過安全控制的常用實用程式，許多攻擊者會植入排程任務，該任務會休眠一段時間，然後開始執行惡意文件。Cynet360 AutoXDR 的事件引擎會立即採取行動並從主機中刪除排程任務。

需要注意的是，如果僅依靠預防級別產品，排程任務可能會繼續執行惡意文件，可能會有多個文件不會被檢測到。然而，Cynet360 AutoXDR 的事件引擎在它有機會發生之前就消除了根本原因。Cynet360 AutoXDR 事件引擎繼續檢查惡意任務是否進入其他主機，並確實在另外一台設備上找到這個排程任務，並自動從中刪除排程任務。

上述案例，若透過手動執行這些調查步驟需要花費大量的時間、技能和努力。每個警報都會變成繁複的工作。這將消耗許多安全團隊的資源，多數小型安全團隊也缺乏執行必要調查步驟的技能。然而，透過 Cynet360 AutoXDR 自動化工作流程可為安全團隊搶得先機，同時消除了人工干預的需要。

Cynet 360 AutoXDR 事件引擎：是獨特且具有調查洞察力的事件引擎，是一種自動響應功能，可產生整個事件調查和響應的可視化地圖。在短短幾分鐘內，該工具會自動執行完整的事件響應工作流程，包括根本原因分析、全面性確認威脅影響範圍和所有必要的修復措施，有效遏制和消除實際威脅的平均總時間。