インシデント管理の構成の概要

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics Incident Managementは、メッセージ バス経由でさまざまなソースからアラート データを集計し、これらのアラートをSecurity Analyticsのユーザー インタフェースに表示します。Incident Managementサービスを使用すると、アラートを論理的にグループ化して、インシデント対応ワークフローを開始し、必要に応じて生成されたセキュリティに関する問題を調査および改善できます。 

Incident Managementサービスは、メッセージ バスからのアラートを統合して、(元のデータを保持しながら)データを一般的な形式に成型し、ルールの処理を合理化します。このサービスは、定期的にルールを実行して複数のアラートを1つのインシデントに統合し、そのインシデントに属性(たとえば重大度、カテゴリなど)を設定します。インシデントはIncident ManagementサービスによってMongoDb内に保持されます。インシデントは、他のシステムによって利用できるよう(Archerとの統合など)、メッセージ バスにも送信されます。

注:アラート レコードはIncident ManagementサービスによってMongoDb内に保持されます。Security Analytics 10.4以降では、MongoDbのインスタンスは1台のESAホストにインストールされます。ESAはIncident Managementの必須コンポーネントです。

次の図は、概略的なデータ フロー図を示しています。

architecture_diagram.png

Incident Managementサービスによって収集および統合されるアラートのさまざまなソースを構成する必要があります。

You are here
Table of Contents > インシデント管理の概要

Attachments

    Outcomes