インシデントの管理:アラートのフィルタ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

アラートのフィルタは、特定の基準を満たすアラート(例: 特定のソースから生成されたアラート、特定の重大度に該当するアラート、インシデントに関連しないソースからのアラートなど)を探す際に有用な機能です。また、必要に応じて、アラートを細部までドリル ダウンして解析し、さらに詳しく調査することもできます。

前提条件

[アラート]ビューのフィルタリング手順を開始する前に、[アラート]ビューのパラメータを理解しておく必要があります。詳細については、次のトピックを参照してください: [アラート]ビュー.

手順

次の例では、重大度レベル5のESAアラートをすべて表示するようにビューをカスタマイズする方法を説明しています。

  1. Security Analyticsメニューで、[インシデント]>[アラート]を選択します。

    すべてのアラート]ビューが表示されます。

    all_alerts_view.png

  2. [オプション]パネルで、[時間範囲]に対して[すべてのデータ]を選択します。

    注:デフォルトでは、直近5日間のアラートが表示されます。別の期間のアラートを表示するには、時間範囲を変更します。

  3. ソース]としてEvent Stream Analysisを選択します。
  4. 重大度レベルを5に設定します。

    filter_alert.png

    重大度5以上のすべてのESAアラートが、右側のパネルにチャートで表示されます。

    注:選択したフィルタにデータが存在しない場合、そのフィルタは無効になります。[選択のリセット]をクリックして、デフォルトの選択条件を表示します。これは、アラート、インシデント、改善に対して適用されます。たとえば、前の図で、[時間範囲]を[直近1時間]に変更する場合で、直近1時間にESAのアラートが存在しない場合、ソース[Event Stream Analysis (0)]がグレー表示されます。この場合、[選択のリセット]をクリックします。すべてのオプションのデフォルトの基準が表示されます。 

  5. グラフにマウス ポインターを合わせると、特定の日にトリガーされたアラートの数について詳細が表示されます。

    alert_time_detail.png

    アラートの詳細は、ページの下半分の詳細ビューに表示されます。

    注:このビューから、アラートを選択してインシデントを作成したり、既存のインシデントにアラートを追加したり、アラートを調査したりすることができます。詳細については、次のトピックを参照してください: 既存のインシデントへのアラートの追加.

    all_alert_details.png

  6. アラートをダブル クリックします。

    [アラートの詳細]ビューが表示されます。

    alert_detail.png

    アラートの詳細として、作成日、アラートのタイプ、アラートの説明、イベントの数、ユーザーとファイルの情報、アラートのサイズが表示されます。必要に応じて、さらに詳しくアラートを調査することができます。

    注:[RAWアラートの表示]をクリックすると、RAWアラート情報が表示されます。

  7. アクション]列で[イベントの調査]を選択します。

    alert_actions.png

    注:[アクション]メニューで利用できるオプションは、アラートのタイプによって異なります。詳細については、次のトピックを参照してください: [アラート]ビュー.

    サービスの[Investigate]>[ナビゲート]ビューが表示されます。さらに詳しく調査するためのオプションを選択することができます。

  8. すべてのアラート]ビューに移動するには、[アラートに戻る]をクリックします。
  9. デフォルトをリストアする場合、[選択のリセット]をクリックします。

[インシデント]>[すべてのアラート]ビューの各種パラメータの詳細については、次のトピックを参照してください: [アラート]ビュー.

You are here
Table of Contents > アラートのレビュー > アラートのフィルタ

Attachments

    Outcomes