対応:インシデントのエスカレーションまたは改善

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

詳細情報を収集するに伴い、インシデントを別のアナリストに割り当てたり、インシデントのステータスや優先度を変更する必要が生じる可能性があります。たとえば、インシデントが重大な侵害であると判断した後、インシデントの優先度をからにアップグレードすることができます。

インシデントの更新

インシデントは複数の場所から更新することができます。[インシデント リスト]ビューと[インシデントの詳細]ビューからは、優先度、ステータス、割り当て先を変更できます。たとえば、アナリストの場合、対応中の別のインシデントに関連するインシデントを発見したとき、[インシデント リスト]ビューからそのインシデントを自分に割り当てることができます。SOCマネージャや管理者の場合、[インシデント リスト]ビューで担当者が割り当てられていないインシデントを確認したり、新しいインシデントがあれば担当者を割り当てることができます。SOCマネージャと管理者は、優先度、ステータス、割り当て先を一度に1つのインシデントで更新するのではなく一括更新することができます。

[インシデントの詳細]ビューでは、インシデントの処理を開始したらステータスを[対応中]に変更し、問題が解決した後に[クローズ]または[クローズ- False Positive]に更新することができます。また、インシデントの詳細が確定するのに伴い、インシデントの優先度を中または高に変更する必要が生じる可能性もあります。

インシデント ステータスの変更

インシデントがインシデントのリストに最初に表示されるとき、初期ステータスは「新規」です。インシデントの対応作業が完了するのに伴い、ステータスを更新できます。以下のステータスがあります。

  • 新規
  • 割り当て済み
  • 対応中
  • タスク要求中
  • タスク完了
  • クローズ
  • クローズ- False Positive

複数のインシデントのステータスを更新するには:

  1. [インシデント リスト]ビューで、変更する1つまたは複数のインシデントを選択します。ページ内のすべてのインシデントを選択するには、インシデント リストのヘッダー行のボックスを選択します。選択したインシデントの数は、インシデント リストのフッターに表示されます。
  2. ステータス変更]をクリックし、ドロップダウン リストからステータスを選択します。この例では、現在のステータスは[割り当て済み]ですが、アナリストは選択したインシデントのステータスを[対応中]に変更します。
    Incidents List view showing the Status drop-down list
  3. 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
    Confirm Update dialog
    変更が成功した通知が表示されます。次の例では、更新されたインシデントのステータスが[対応中]と表示されています。
    Incident List showing a successful bulk Status update

[概要]パネルから1つのインシデントのステータスを変更するには:

  1. [概要]パネルを開くには、次のいずれかの操作を行います。
    • [インシデント リスト]ビューから、ステータス更新の必要があるインシデントをクリックします。
      Incidents List showing Overview panel
    • [インシデントの詳細]ビューで、[概要]タブをクリックします。
      Incident Details view showing Overview tab
      [概要]パネルでは、[ステータス]ボタンにインシデントの現在のステータスが表示されます。
  2. ステータス]ボタンをクリックし、ドロップダウン リストからステータスを選択します。
    Update Overview Panel showing Status drop-down list
    変更が成功した通知が表示されます。
    Successful change notification

インシデント優先度の変更

インシデントのリストはデフォルトでは優先度でソートされています。優先度はインシデントの詳細を調査するときに更新できます。次の優先度があります。

  • クリティカル

注:クローズしたインシデントの優先度を変更することはできません。

複数のインシデントの優先度を更新するには:

  1. [インシデント リスト]ビューで、変更する1つまたは複数のインシデントを選択します。ページ内のすべてのインシデントを選択するには、インシデント リストのヘッダー行のボックスを選択します。選択したインシデントの数は、インシデント リストのフッターに表示されます。
  2. 優先度の変更]をクリックし、ドロップダウン リストから優先度を選択します。この例では、現在の優先度は[高]ですが、アナリストは選択したインシデントの優先度を[クリティカル]に変更します。
    Incidents List view showing the Priority drop-down list
  3. 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
    変更が成功した通知が表示されます。次の例では、更新されたインシデントのステータスが[クリティカル]と表示されています。
    Incident List showing a successful bulk Status update

[概要]パネルから1つのインシデントの優先度を変更するには

  1. [概要]パネルを開くには、次のいずれかの操作を行います。
    • [インシデント リスト]ビューから、優先度を変更する必要があるインシデントをクリックします。
    • [インシデントの詳細]ビューで、[概要]タブをクリックします。
      [概要]パネルでは、[優先度]ボタンにインシデントの現在の優先度が表示されます。
  2. 優先度]ボタンをクリックし、ドロップダウン リストからステータスを選択します。
    Update Overview Panel showing Priority drop-down list
    変更が成功した通知が表示されます。[優先度]ボタンにインシデントの新しい優先度が表示されます。
    Successful change notification

他のアナリストへのインシデントの割り当て

インシデントを自分自身に割り当てるときと同じ方法で他のアナリストにインシデントを割り当てることができます。SOCマネージャや管理者は同時に複数のインシデントを1人のユーザに割り当てることができます。

注:クローズしたインシデントの割り当て先を変更することはできません。

ユーザに複数のインシデントを割り当てるには:

  1. [インシデント リスト]ビューで、ユーザに割り当てるインシデントを選択します。ページ内のすべてのインシデントを選択するには、インシデント リストのヘッダー行のボックスを選択します。選択したインシデントの数は、インシデント リストのフッターに表示されます。
  2. 割り当て先の変更]をクリックし、ドロップダウン リストからユーザを選択します。次の例では、インシデントは誰にも割り当てられていないため、アナリストに割り当てる必要があります。
    Incidents List view showing the Assignee drop-down list
  3. 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
    変更が成功した通知が表示されます。割り当て先が選択したユーザに変更されます。
    Incidents List showing successful assignee change

[概要]パネルからインシデントにユーザを割り当てるには:

  1. [概要]パネルを開くには、次のいずれかの操作を行います。
    • [インシデント リスト]ビューから、優先度を変更する必要があるインシデントをクリックします。
    • [インシデントの詳細]ビューで、[概要]タブをクリックします。
      [概要]パネルでは、[割り当て先]ボタンにインシデントの担当ユーザが表示されます。次の例では、[割り当て先]ボタンの現在のステータスは[未割り当て]です。
      Update Overview Panel changing assignee to Analyst User from Unassigned
  2. 割り当て先]ボタンをクリックし、ドロップダウン リストからユーザを選択します。
    変更が成功した通知が表示されます。[割り当て先]ボタンに割り当てられたユーザが表示されます。
    Successful change notification

インシデントの名前変更

インシデントの名前は、[インシデント リスト]ビューと[インシデントの詳細]ビューの[概要]パネルから変更できます。たとえば、複数のインシデントの名前が同じ場合に、問題が明確になるようにインシデントの名前を変更することができます。

  1. [対応]>[インシデント]に移動します。
  2. [概要]パネルを開くには、次のいずれかの操作を行います。
    • [インシデント リスト]ビューから、名前変更の必要があるインシデントをクリックします。
      [概要]パネルが表示されます。
    • [インシデントの詳細]ビューで、[概要]パネルに移動します。
      [概要]パネルの上のヘッダーで、インシデントIDとインシデントの名前を確認できます。
      Overview Panel showing header
  3. ヘッダーでインシデントの名前をクリックし、テキスト エディタを開きます。
    Incident Details View Overview panel showing an editable name field in the header
  4. テキスト エディタでインシデントの新しい名前を入力し、チェック マークをクリックして変更を確認します。
    Incident Details View Overview panel showing text editor
    たとえば、「High Risk Alerts: ESA for 90.0」という名前を、より明確な「Alerts for mail.emc.com」に変更することができます。
    変更が成功した通知が表示されます。
    Successful change notification
    インシデントの名前のフィールドに新しい名前が表示されます。
    Incident Details View Overview panel showing new incident name

すべてのインシデント タスクの表示

インシデントに関する追加作業が必要な場合は、インシデントのタスクを作成し、それらのタスクの進行状況をトラッキングすることができます。これは、たとえば、セキュリティ オペレーションの範囲外の作業を実施するときや、コンピュータの再イメージ化をリクエストするときに役立ちます。[タスク リスト]ビューでは、タスクをクローズするまで管理およびトラッキングできます。

  1. [対応]>[タスク]に移動します。
    [タスク リスト]ビューには、すべてのインシデント タスクのリストが表示されます。
    Tasks View
  2. タスクのリストをスクロールすると、次の表で説明する各タスクに関する基本的な情報が表示されます。
                                               

説明

作成日時タスクが作成された日付が表示されます。
優先度タスクに割り当てられた優先度が表示されます。優先度には次のいずれかを指定できます。クリティカル、高、中、低。優先度も色分けされています。次の図に示すように、赤は[クリティカル]、オレンジ色は[]リスク、黄色は[]リスク、緑は[]リスクを示します。
Priorities showing color coding
IDタスクIDが表示されます。
名前タスク名が表示されます。
割り当て先タスクに割り当てられているユーザの名前が表示されます。
ステータスタスクのステータスが表示されます。[新規]、[割り当て済み]、[対応中]、[改善済み]、[リスク受容]、[該当なし]のいずれかが表示されます。
最終更新タスクの最終更新日時を表示します。
作成者タスクを作成したユーザが表示されます。
インシデントIDタスクが作成されたインシデントのIDを表示します。IDをクリックするとインシデントの詳細が表示されます。

リストの一番下に、現在のページに表示中のタスク数、タスクの総数、選択したタスクの数が表示されます。例:6件中6件を表示中 | 2件選択済み

タスク リストのフィルタ

タスク リスト内のタスクの数が大量になると、特定のタスクを見つけるのが困難になります。フィルタを使用して、表示するタスクを制限することができます。例えば、直近7日間に作成されたタスクに限定することができます。特定のタスクを検索することもできます。

  1. [対応]>[タスク]に移動します。
    タスク リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[タスク リスト]ビューのツールバーでFilter iconをクリックすると[フィルタ]パネルが開きます。
    Tasks List Filters panel
  2. [フィルタ]パネルで1つまたは複数のオプションを選択し、タスクのリストをフィルタします。
    • 時間範囲]:[時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲はタスクの作成日に対するフィルタです。たとえば、[直近1時間]を選択する場合は、過去60分以内に作成されたタスクが表示されます。
    • カスタムの日付範囲]:[時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
      Custom Date Range option in the filter
    • タスクID]:検索するタスクのタスクIDを入力します(例:REM-123)。
    • 優先度]:表示する優先度を選択します。複数選択可能です。
    • ステータス]:タスクのステータスを選択します。複数選択可能です。たとえば、完了した改善タスクを表示するには、[改善済み]を選択します。
    • 作成者]:表示するタスクを作成したユーザを選択します。たとえば、Edwardoによって作成されたタスクのみを表示する場合は、[作成者]ドロップダウン リストから[Edwardo]を選択します。タスクの作成者にかかわらずタスクを表示する場合は、[作成者]を選択しないでください。

    タスク リストには、選択した条件を満たすタスクが表示されます。タスク リストの一番下で、フィルタにより検出されたタスクの数を確認できます。
    例:6件中6件を表示中

  3. [フィルタ]パネルを閉じる場合は、[X]をクリックします。フィルタは、削除するまで設定されたままになります。

タスク リストからのフィルタの削除

NetWitness Suiteでは、[タスク リスト]ビューのフィルタ選択を記憶します。不要な場合はフィルタ選択を削除することができます。たとえば、表示したいタスクが表示されない場合や、すべてのタスクを表示したい場合は、フィルタをリセットできます。

  1. [対応]>[タスク]に移動します。
    タスク リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[タスク リスト]ビューのツールバーでFilter iconをクリックすると[フィルタ]パネルが開きます。
  2. [フィルタ]パネルの一番下にある[フィルタのリセット]をクリックします。

タスクの作成

インシデントを調査して詳細を把握したら、タスクを作成してユーザに割り当て、クローズまでトラッキングすることができます。[インシデントの詳細]ビューからタスクを作成します。

  1. [対応]>[インシデント]に移動します。
    [インシデント リスト]ビューに、すべてのインシデントのリストが表示されます。
    Incidents List with links in ID and NAME fields selected

  2. タスクが必要なインシデントを見つけて、[ID]または[名前]フィールドのリンクをクリックします。
    [インシデントの詳細]ビューが表示されます。
    Incident Details view showing icon for Journal, Tasks, and Related in red
  3. [インシデントの詳細]ビューの右上のツールバーで、Journal iconを選択します。
    [ジャーナル]パネルが表示されます。
    Incident Details view with Journal open showing Tasks tab in red
  4. タスク]タブを選択します。
    Tasks panel with no tasks
  5. [タスク]パネルで、[新しいタスクの追加]をクリックします。
    新しいタスクのフィールドが表示されます。
    Tasks panel new task fields
    インシデントがクローズ状態([クローズ]または[クローズ- False Positive])の場合、[新しいタスクの追加]ボタンは無効化されます。
  6. 次の情報を入力します。
    • 名前]:タスクの名前。例:マシンの再イメージ化。
    • 説明]:(オプション)タスクの説明を入力します。該当する参照番号を含めることができます。
    • 割り当て先]:(オプション)タスクの割り当て先となるユーザの名前を入力します。
    • 優先度]:優先度ボタンをクリックし、ドロップダウン リストからタスクの優先度を選択します。[低]、[中]、[高]、[クリティカル]の中から選択します。
  7. 保存]をクリックします。
    変更が成功したことを示すメッセージが表示されます。インシデント ステータスは[タスク要求中]に変更されます。このインシデントの[タスク]パネルにタスクが表示されます。
    Incident Details view showing new task in the Tasks panel with a status of Task Requested
    すべてのインシデント タスクのリストを表示する[タスク リスト]ビュー([対応]>[タスク])にも表示されます。
    Incidents List showing new task

注:ステータスが変更されない場合は、Webブラウザの表示を更新してみてください。

タスクの検索

タスクIDがわかっている場合は、フィルタを使用して、タスクをすばやく見つけることができます。たとえば、数千件のタスクの中から特定のタスクを見つけることができます。

  1. [対応]>[タスク]に移動します。
    タスク リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[タスク リスト]ビューのツールバーでFilter iconをクリックすると[フィルタ]パネルが開きます。
    Tasks List Filters panel showing example search for a task in the TASK ID field
  2. [タスクID]フィールドに、検索するタスクのタスクIDを入力します(例:REM-1234)。

    タスク リストに指定されたタスクが表示されます。結果が表示されない場合は、フィルタをリセットしてください。

タスクの変更

インシデント内およびタスク リストからタスクを変更することができます。たとえば、タスクのステータスを[対応中]に変更し、情報を追加する場合があります。タスクがクローズ状態([該当なし]、[リスク受容]、[改善済み])の場合、[優先度]または[割り当て先]は変更できません。

インシデント内からタスクを変更するには:

  1. [対応]>[インシデント]に移動します。
    [インシデント リスト]ビューに、すべてのインシデントのリストが表示されます。

  2. タスクの更新が必要なインシデントを見つけて、[ID]または[名前]フィールドのリンクをクリックします。
    [インシデントの詳細]ビューが表示されます。

  3. ビューの右上のツールバーで、Journal iconを選択します。
    [ジャーナル]パネルが表示されます。
  4. タスク]タブを選択します。
  5. [タスク]パネルの鉛筆アイコンは、変更できるテキスト フィールドを示します。ボタンは、選択するドロップダウン リストがあることを示します。
    Task panel
  6. 次のフィールドを変更できます。
    • 名前]:現在のタスク名をクリックすると、テキスト エディタが開きます。
      Task Name edit text box
      チェック マークをクリックして、変更を確定します。たとえば、「マシンの再イメージ化」を「至急!マシンの再イメージ化」に変更できます。
    • 割り当て先]:[(未割り当て)]または現在の割り当て先の名前をクリックすると、テキスト エディタが開きます。タスクの割り当て先となるユーザの名前を入力します。
      チェック マークをクリックして、変更を確定します。
    • 優先度]:[優先度]ボタンをクリックし、ドロップダウン リストからタスクの優先度を選択します。[低]、[中]、[高]、[クリティカル]の中から選択します。
    • ステータス]:[ステータス]ボタンをクリックし、ドロップダウン リストからタスクのステータスを選択します。[新規]、[割り当て済み]、[対応中]、[改善済み]、[リスク受容]、[該当なし]のいずれかが表示されます。たとえば、[対応中]にステータスを変更することができます。
      Status field drop-down list with In Progress selected
    • 説明]:説明の下のテキストをクリックすると、テキスト エディタが開きます。
      Task Description field text editor
      テキストを変更してチェック マークをクリックし、変更を確定します。

変更ごとに、変更が成功したことを示すメッセージが表示されます。

タスク リストからタスクを変更するには:

  1. [対応]>[タスク]に移動します。
    [タスク リスト]ビューには、すべてのインシデント タスクのリストが表示されます。
  2. タスク リストで、更新するタスクをクリックします。
    タスク リストの右側にタスクの[概要]パネルが表示されます。
    Tasks List view showing the Overview panel
    タスクの[概要]パネルの鉛筆アイコンは、変更できるテキスト フィールドを示します。ボタンは、選択するドロップダウン リストがあることを示します。
    Task Overview panel
  3. 次のフィールドを変更できます。
    • <タスク名>:タスクの[概要]パネルの上部、タスクIDの下で、現在のタスク名をクリックすると、テキスト エディタが開きます。
      Task Name edit text box
      チェック マークをクリックして、変更を確定します。たとえば、「タスク5」を「タスク6」に変更することができます。
    • 優先度]:[優先度]ボタンをクリックし、ドロップダウン リストからタスクの優先度を選択します。[低]、[中]、[高]、[クリティカル]の中から選択します。
    • ステータス]:[ステータス]ボタンをクリックし、ドロップダウン リストからタスクのステータスを選択します。[新規]、[割り当て済み]、[対応中]、[改善済み]、[リスク受容]、[該当なし]のいずれかが表示されます。
    • 割り当て先]:[(未割り当て)]または現在の割り当て先の名前をクリックすると、テキスト エディタが開きます。タスクの割り当て先となるユーザの名前を入力します。
      Assignee Edit text box
      チェック マークをクリックして、変更を確認します。
    • 説明]:説明の下のテキストをクリックすると、テキスト エディタが開きます。
      Task Description field text editor
      テキストを変更してチェック マークをクリックし、変更を確定します。

変更ごとに、変更が成功したことを示すメッセージが表示されます。

タスクの削除

誤って作成したタスクや、必要ないことがわかったタスクは、削除できます。インシデント内および[タスク リスト]ビューからタスクを削除することができます。[タスク リスト]ビューでは、同時に複数のタスクを削除することができます。

インシデント内からタスクを削除するには:

  1. [対応]>[インシデント]に移動します。
    [インシデント リスト]ビューに、すべてのインシデントのリストが表示されます。

  2. タスクの更新が必要なインシデントを見つけて、[ID]または[名前]フィールドのリンクをクリックします。
    [インシデントの詳細]ビューが表示されます。

  3. ビューの右上のツールバーで、Journal iconを選択します。
    [ジャーナル]パネルが表示されます。
  4. [タスク]タブを選択します。
  5. [タスク]パネルでは、インシデントに対して作成されたタスクを確認できます。
    Tasks panel showing two tasks
  6. 削除するタスクの右にあるDelete icon (trash can)をクリックします。
    Task showing location of delete icon
  7. タスクを削除することを確認し、[OK]をクリックします。
    Confirm Delete dialog
    タスクがNetWitness Suiteから削除されます。NetWitness Suiteからタスクを削除しても、他のシステムからは削除されません。

タスク リストからタスクを削除するには:

  1. [対応]>[タスク]に移動します。
    [タスク リスト]ビューには、すべてのインシデント タスクのリストが表示されます。
  2. タスク リストで、削除するタスクを選択し、[削除]をクリックします。
    Tasks list with tasks selected for delete
  3. タスクを削除することを確認し、[OK]をクリックします。
    Confirm Delete dialog
    タスクがNetWitness Suiteから削除されます。NetWitness Suiteからタスクを削除しても、他のシステムからは削除されません。

インシデントのクローズ

インシデントを調査し、改善し、解決したら、インシデントをクローズします。

  1. [対応]>[インシデント]に移動します。
  2. [インシデント リスト]ビューで、クローズするインシデントを選択し、[ステータス変更]をクリックします。
  3. ドロップダウン リストから[クローズ]を選択します。
    変更が成功した通知が表示されます。これでインシデントがクローズされました。クローズしたインシデントの優先度および割り当て先を変更することはできません。

注:[概要]パネルでもインシデントをクローズすることができます。[インシデント リスト]ビューでは同時に複数のインシデントをクローズできます。「インシデント ステータスの変更 」で、詳細を参照してください。

You are here
Table of Contents > インシデントのエスカレーションまたは修正

Attachments

    Outcomes