インシデントの管理:[アラート]ビュー

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、[アラート]ビューにアクセスする方法、[アラート]ビューの詳細、アラートのさまざまな側面について説明します。[アラート]ビューでは、さまざまなアラートを参照し、フィルタリングしてグループ化し、インシデントを作成できます。

[アラート]ビューにアクセスするには、Security Analyticsメニューで[インシデント]>[アラート]を選択します。[すべてのアラート]ビューが表示されます。[アラート]ビューは、必要に応じてカスタマイズできます。

all_alerts_view.png

機能

[アラート]ビューには、詳細とコマンドがいくつか用意されており、これらはアラートの表示とカスタマイズに役立ちます。

[アラート]ビューの詳細

[すべてのアラート]ビューのオプション パネルには、アラートの表示をカスタマイズするための各種パラメータが用意されています。

次の表は、アラートをフィルタリングしてビューをカスタマイズするのに選択するさまざまなパラメーターを示します。アラートをフィルタリングするために選択したフィルター パラメーターは、現在のビューから離れてタブやセッションを切り替えた場合、または詳細画面に移動した場合でも保存され、そのまま維持されます。[選択のリセット]オプションを使用すると、フィルター オプションをデフォルト値にリセットできます。

                                            
パラメータ説明
時間範囲

特定の時間範囲内のアラートを表示するには、時間範囲を選択します。次に例を挙げます。

  • 直近24時間]を選択した場合、直近の24時間以内にトリガーされたアラートが表示されます。
  • [すべてのデータ]を選択した場合、サービスが追加された時点以降にトリガーされたアラートが表示されます。 
  • カスタム]を選択して時間範囲を指定すると、その期間にトリガーされたアラートが表示されます。
ソース

ソースごとに分類されたアラートの数を示します。たとえば、RSA ECAT(86)では、RSA ECATによってトリガーされた86のアラートを示します。

1つまたは複数のソースを選択して、選択したソースによってトリガーされたアラートを表示します。たとえば、ECATアラートのみを表示するには、ソースとしてRSA ECATを選択します。

タイプアラートのイベントのタイプ(ログ、ネットワーク セッションなど)を示します。
重大度アラートの重大度を示します。必要な重大度のアラートを表示する値を選択します。たとえば、重大度75のアラートを表示するには、重大度レベルとして75を選択します。
インシデント生成

インシデントに属しているかどうかに基づいて分類されたアラートの数を示します。たとえば、Yes(180)は、インシデントの一部であるアラートが180あることを示します。

インシデントの一部であるアラートを表示するには、[Yes]を選択します。インシデントの一部ではないアラートを表示するには、[No]を選択します。

ソースの国名Decoderでgeo-ipが有効化されている場合、アラート内のイベントのソース デバイスにタグ付けられた国でフィルタを適用できます。
宛先の国名Decoderでgeo-ipが有効化されている場合、アラート内のイベントの宛先デバイスにタグ付けられた国でフィルタを適用できます。
reset_selection_button.png フィルタ オプションをデフォルト値にリセットします。

[アラート]パネルの上半分には、フィルタ条件に一致するアラートのトレンドが、選択したパラメータに従って、時間経過に沿って(ソース別に)グラフィカル表示されます。

アラートの詳細

[アラート]パネルの下半分には、アラートの詳細が表示されます。次の表で、さまざまなアラートの詳細について説明します。

                                                
フィールド説明
作成日アラートが作成された日付を表示します。
重大度アラートの重大度を表示します。値は1~100となります。 
名前アラートの名前を表示します。
ソースアラートのソースを表示します。アラートのソースには、ECAT、Malware Analytics、ESA、Investigatorサービス、Reporting Engineがあります。
イベント数

アラートに含まれるイベントの数を示します。

注:この値は、ソースによって異なります。たとえば、ECATアラートとMAアラートでは、常にイベントの数が1つになります。特定のタイプのアラートでは、イベント数が多いとより高いリスクを示すことがあります。

ホスト サマリーホストの詳細(アラートのトリガー元のホストの名前など)を表示します。詳細情報には、アラートのソースおよび宛先デバイスに関する情報があります。アラートによっては、複数のデバイス間のイベントを説明するものもあります。
ユーザー サマリーアラートのイベントに関連づけられているユーザーのサマリーを表示します。
インシデントIDアラートが属するインシデントのインシデントIDを表示します。インシデントIDがない場合は、アラートがインシデントに属さないことを示します。この場合、このアラートを含めるインシデントを作成することも、アラートを既存のインシデントに追加することもできます。
アクション

さらに、アラートを調査することができます。詳細な調査で使用可能なオプションは、アラートのタイプによって異なります。

例:
ECATアラートに対しては、[ECAT解析の表示]オプションを使用できます。クライアント マシンにECATクライアントをインストールしている場合にホスト解析を表示できます。ESAまたはReporting Engineの場合、[イベントの調査]、[デバイスIPアドレスの調査]、[ソースIPアドレスの調査]、[宛先IPアドレスの調査]の各オプションを使用できます。イベントをInvestigatorビューで表示したり、(たとえば、同じソースIPアドレスまたは宛先IPアドレスで分類した)類似のイベントを表示したりできます。Malware Analyticsの場合、[Malware Analysisの表示]オプションを使用できます。マルウェア解析からイベント詳細を表示できます。

オプション

[アラート]パネルの下半分には、さまざまな操作を実行するためのオプションが用意されています。この表は、使用できるさまざまなコマンドについて説明しています。

                        
コマンドアクション
Create_incident_button.png アラートを選択して、インシデントを作成する。次のトピックを参照してください: インシデントの手動作成.
add_to_incident.png アラートを選択して、そのアラートを既存のインシデントに追加する。次のトピックを参照してください: 既存のインシデントへのアラートの追加.
Icon-DeleteText.png アラートを選択して削除する。次のトピックを参照してください: アラートの削除.
You are here
Table of Contents > インシデント管理の参考情報 > [アラート]ビュー

Attachments

    Outcomes