調査:[インシデントの作成]ダイアログ

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[インシデントの作成]ダイアログでは、アナリストは[イベント]ビューで選択したイベントからインシデントを作成できます。インシデントは[対応]ビューで作業しているインシデント対応者が使用できるようになります。

このダイアログにアクセスするには、[調査]>[イベント]ビューで、ツールバーから[インシデント]>[新しいインシデントの作成]を選択します。

ワークフロー

このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。

インシデントを作成するタスクがハイライト表示されている調査ワークフロー

実行したいことは何ですか?

                                                          
ユーザ ロール実行したいこと手順
インシデント対応者

重要なインシデントまたはアラートの確認

NetWitness Respondユーザ ガイド

脅威ハンターサービス、メタデータ、時間範囲のクエリを実行

[イベント]ビューでの結果のフィルタリング

[ナビゲート]ビューでの結果のフィルタリング

[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

メタデータの表示

[イベント]ビューでのイベントの分析

結果セットの絞り込み

脅威ハンター

RAWイベント データの表示

[イベント]ビューでの結果のフィルタリング

[イベント]ビューでのイベントの分析

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

イベントの再構築

[イベント]ビューでのイベントの分析

[イベント]ビューでのイベントの再構築

[レガシー イベント]ビューでのイベントの再構築

脅威ハンターファイルの検証

[イベント]ビューでのデータのダウンロード

[ナビゲート]ビューでのドリルダウン ポイントのエクスポートまたは印刷

[レガシー イベント]ビューでのイベントのエクスポート

脅威ハンタールックアップの実行

結果の追加のコンテキストを検索

メタ キーのルックアップの起動

脅威ハンターインシデントの作成またはインシデントへの追加*

[レガシー イベント]ビューでのインシデントへのイベントの追加

[イベント]ビューでのインシデントへのイベントの追加

脅威ハンター

Context Hubリストへのメタ値の追加

結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

次の図に、[インシデントの作成]ダイアログの例を示します。機能は表で説明します。

[インシデントの作成]ダイアログ [イベント分析]ページからのインシデントの作成

                                           
機能説明
アラートの作成[アラート サマリ]フィールドには、アラートを選択した時のクエリが自動入力されます。これは、このインシデントを作成する時に選択されていたクエリです。[重大度]フィールドには、選択したアラートの重大度として、1~100の整数が示されます。
名前(必須)インシデントを識別する名前を指定します。この例では、名前は「Sample Incident」です。このインシデントに追加されるイベントの特性を明確に識別する名前を指定します。
まとめ(オプション)インシデントのオプションの説明を指定します。優れたサマリを指定すると、他のアナリストや対応者がインシデントを明確に識別することができます。
割り当て先(オプション)インシデントをSOC内のユーザに割り当てます。[割り当て先]をクリックすると、インシデントに対応するSOC担当者のユーザ名がドロップダウン リストに表示されます。
カテゴリ(オプション)インシデントのカテゴリーを識別します。[カテゴリー]をクリックすると、インシデントのカテゴリーとサブカテゴリーのドロップダウン リストが表示されます。インシデントが属するカテゴリー(複数可)を選択できます。カテゴリーは、[Environmental]、[Error]、[Hacking]、[Malware]、[Misuse]、[Social]の主要グループに分類されます。
優先インシデントの優先度を識別します。[優先]をクリックすると、優先度(重要、高、中、低)のドロップダウンリストが表示されます。
キャンセル変更を保存せずにダイアログを閉じます。
保存インシデントを保存して、ダイアログ ボックスを閉じます。インシデントが正常に作成されたことを示すメッセージが表示されます。

You are here
Table of Contents > 調査の参考情報 > [インシデントの作成]ダイアログ

Attachments

    Outcomes