on Nov 2, 2020[インシデントの作成]ダイアログでは、アナリストは[イベント]ビューで選択したイベントからインシデントを作成できます。インシデントは[対応]ビューで作業しているインシデント対応者が使用できるようになります。
このダイアログにアクセスするには、[調査]>[イベント]ビューで、ツールバーから[インシデント]>[新しいインシデントの作成]を選択します。
ワークフロー
このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。
実行したいことは何ですか?
| ユーザ ロール | 実行したいこと | 手順 |
|---|---|---|
| インシデント対応者 | 重要なインシデントまたはアラートの確認 | 『NetWitness Respondユーザ ガイド』 |
| 脅威ハンター | サービス、メタデータ、時間範囲のクエリを実行 | |
| 脅威ハンター | メタデータの表示 | |
| 脅威ハンター | RAWイベント データの表示 | |
| 脅威ハンター | イベントの再構築 | |
| 脅威ハンター | ファイルの検証 | |
| 脅威ハンター | ルックアップの実行 | |
| 脅威ハンター | インシデントの作成またはインシデントへの追加* | |
| 脅威ハンター | Context Hubリストへのメタ値の追加 |
*このタスクは現在のビューで実行できます。
関連トピック
簡単な説明
次の図に、[インシデントの作成]ダイアログの例を示します。機能は表で説明します。
![[インシデントの作成]ダイアログ](https://community.rsa.com/servlet/JiveServlet/showImage/648352/CrtIncDg.png)
![[イベント分析]ページからのインシデントの作成](https://community.rsa.com/servlet/JiveServlet/showImage/648353/CreateInc.png)
| 機能 | 説明 |
|---|---|
| アラートの作成 | [アラート サマリ]フィールドには、アラートを選択した時のクエリが自動入力されます。これは、このインシデントを作成する時に選択されていたクエリです。[重大度]フィールドには、選択したアラートの重大度として、1~100の整数が示されます。 |
| 名前 | (必須)インシデントを識別する名前を指定します。この例では、名前は「Sample Incident」です。このインシデントに追加されるイベントの特性を明確に識別する名前を指定します。 |
| まとめ | (オプション)インシデントのオプションの説明を指定します。優れたサマリを指定すると、他のアナリストや対応者がインシデントを明確に識別することができます。 |
| 割り当て先 | (オプション)インシデントをSOC内のユーザに割り当てます。[割り当て先]をクリックすると、インシデントに対応するSOC担当者のユーザ名がドロップダウン リストに表示されます。 |
| カテゴリ | (オプション)インシデントのカテゴリーを識別します。[カテゴリー]をクリックすると、インシデントのカテゴリーとサブカテゴリーのドロップダウン リストが表示されます。インシデントが属するカテゴリー(複数可)を選択できます。カテゴリーは、[Environmental]、[Error]、[Hacking]、[Malware]、[Misuse]、[Social]の主要グループに分類されます。 |
| 優先 | インシデントの優先度を識別します。[優先]をクリックすると、優先度(重要、高、中、低)のドロップダウンリストが表示されます。 |
| キャンセル | 変更を保存せずにダイアログを閉じます。 |
| 保存 | インシデントを保存して、ダイアログ ボックスを閉じます。インシデントが正常に作成されたことを示すメッセージが表示されます。 |
Previous Topic:[コンテキスト ルックアップ]パネル
Next Topic:[イベント]ビュー
You are here
Table of Contents > 調査の参考情報 > [インシデントの作成]ダイアログ