Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:[イベント]ビューでのインシデントへのイベントの追加

Document created by RSA Information Design and Development Employee on Dec 7, 2020Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 2Show Document
  • View in full screen mode
 

[イベント]ビューで調査を行うときに、1つ以上のイベントを選択して、インシデント対応者がRespondで利用可能なインシデントを作成できます。アクセス制限が有効になっている場合、インシデントの作成時に表示できるのは、自分がアクセス権を持っているインシデントのみです。たとえば、[調査]ビューからインシデントを作成する場合、アナリストはインシデントを自分に割り当てて、それらを[対応]ビューに表示する必要があります。また、アクセス権のある既存のRespondのインシデントにイベントを追加することもできます。

注: 管理者は、respond-server.incident.manageおよびinvestigate-server.incident.manageのロールと権限を構成する必要があります。詳細については、『システム セキュリティとユーザ管理ガイド』の「ロールの権限」と「ロールと権限によるユーザの管理」を参照してください。

  1. [調査]>[イベント]に移動します。
  2. [イベント]ビューで、1つ以上のイベントを選択します。
    イベントのリストが表示されている[イベント分析]ページ
  3. インシデントの作成]をクリックします。
    [インシデントの作成]ダイアログが表示されます。[インシデントの作成]ダイアログに情報を入力します。
    [イベント分析]ページからのインシデントの作成
  1. 重大度を選択します。アラート サマリー フィールドの値は事前に定義されており、自動入力されますが、必要に応じて編集することができます。
  2. インシデント名]フィールドに、インシデントの名前を入力します。
  3. 優先度]ドロップダウン リストから、インシデントの優先度を選択します。たとえば、インシデントはクリティカル、高、中、低の優先度の場合があります。

  4. インシデントの割り当て先をドロップダウン リストから選択します。このリストには、調査にアクセスできる組み込みのユーザと、システムに追加されたカスタム ユーザが含まれます。たとえば、このリストには、管理者、アナリスト、DPO、オペレーターのユーザや、インシデント対応担当者のユーザが含まれている場合があります。

  5. [カテゴリー]ドロップダウン リストから、このインシデントに適用するイベントのカテゴリーを1つ以上選択します。
  6. OK]をクリックします。
    調査で選択したイベントを使用してインシデントが作成されます。
  1. 1つ以上のイベントを既存のインシデントに追加するには、1つ以上のイベントを選択してから、[インシデントに追加]をクリックします。

  2. [インシデントに追加]ダイアログで、アラート サマリーと重大度を選択し、インシデントの追加先にする1つ以上の既存の未解決インシデントを選択します。インシデントIDまたはインシデント名で既存のインシデントを検索できます。準備が完了したら、[OK]をクリックします。選択したインシデントにイベントが追加され、Respondで更新されます。

You are here
Table of Contents > 結果のダウンロードと処理 > [イベント]ビューでのインシデントへのイベントの追加

Attachments

    Outcomes