インシデントの管理:プロセス

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

インシデント管理ワークフロー

Security Analytics Incidentsモジュールは、複数のソースからアラートを収集します。それらを論理的にグループ化し、インシデント対応ワークフローを開始して、発生したセキュリティの問題を調査、改善するための機能を提供します。Security Analytics Incidentsモジュールでは、自動的にアラートを統合し、インシデントを生成するルールを構成できます。  アラートはシステムによって共通の形式に標準化されるため、ユーザーは、データ ソースに関係なく、一貫した方法でルール条件を管理できます。データ ソースに固有または共通のフィールドに対してクエリーを設定し、ルールを構築できます。

ルール エンジンによって、類似するアラートはインシデントにグループ化され、これらの一連のアラートに対して調査および改善ワークフローを実行することができます。アラートが持つ1つまたは2つの属性値(ソースのホスト名など)や、アラートが報告された時間帯(4時間以内のアラートなど)などによって、アラートをインシデントにグループ化するルールを作成できます。

アラートがルールと一致する場合、条件を使用してインシデントが作成されます。新しいアラートが取得された時に、条件と一致するインシデントがすでに作成済みの場合、そのインシデントがまだ「対応中」でなければ、新しいアラートは同じインシデントに追加されます。  新しいアラートにおいて、既存のインシデントのグループ化に使用されている値(特定のホスト名など)または時間帯が合致しない場合は、新しいインシデントが作成され、そのインシデントにアラートが追加されます。 

統合ルールは複数設定できます。ルールで可能なのは、一致した場合にアラートをインシデントにグループ化するか、抑制するかのどちらかです。ルールは上から下へと配置され、生成されたアラートに最初に一致するルールのみが、そのアラートをインシデントに含めるのに使用されます。Incidentsモジュールは、アラートのコンテキスト情報を提供し、調査ステータスを記録するツールを提供し、改善の進行状況をトラッキングします。

インシデント管理プロセスのステージは次のとおりです。

  • アラートのレビュー
  • インシデントの管理
  • インシデント管理プロセスの自動化
  • 次のツールを使用したインシデント対応のトラッキング
    • Security Analytics UI
    • サード パーティのヘルプデスク システム
    • RSA Archer侵害管理 

インシデント管理ワークフローの図

次の図に、インシデント管理ワークフロー プロセスを示します。

incident_workflow.png

You are here
Table of Contents > インシデント管理プロセス

Attachments

    Outcomes