詳細情報を収集するに伴い、インシデントをエスカレーションする、インシデントを別のアナリストに割り当てる、またはインシデントのステータスや優先度を変更する必要が生じる可能性があります。たとえば、インシデントが重大な侵害であると判断した後、インシデントの優先度を高からクリティカルにアップグレードすることができます。また、追加の分析とアクションのためRSA Archer® Cyber Incident & Breach Responseにインシデントを送信することもできます。
RSA Archerにインシデントを送信する
注:このオプションはバージョン11.2以降で使用可能です。RSA ArcherがContext Hubでデータ ソースとして設定されている場合は、RSA Archerにインシデントを送信することができ、NetWitness Respondで[Archerに送信]オプションと[Archerに送信済み]ステータスが表示されます。
Archerにインシデントを送信すると、そのインシデント内に[Archerに送信済み]通知が表示されます。NetWitness Platformが構成されているなら、Archer Cyber Incident & Breach Responseで追加のビジネス プロセスを開始できます。[インシデント リスト]ビューのフィルタを使用すると、Archer Cyber Incident & Breach Responseに送信されたすべてのインシデントを表示できます。
インシデントをArcherに送信するには、[インシデント リスト]ビューまたは[インシデントの詳細]ビューの[概要]パネルで、[Archerに送信]ボタンをクリックします。
注意:[Archerに送信]アクションは元に戻せません。
- [対応]>[インシデント]に移動します。
- [インシデント リスト]ビューから、Archer Cyber Incident & Breach Responseに送信するインシデントをクリックします。
右側に[概要]パネルが表示されます。 -
[概要]パネルで、[Archerに送信]をクリックします。
-
[Archerへの送信を確認する]ダイアログを読み、[はい]をクリックしてArcher Cyber Incident & Breach Responseへのインシデントの送信を確認します。このアクションは取り消しできません。
インシデントがArcherインシデントIDと共にArcherに送信されたことを確認メッセージが届きます。[概要]パネルで、[Archerに送信]ボタンが[Archerに送信済み]に変わります。
[インシデントの詳細]ビュー(Archerに送信されたインシデントの[ID]または[名前]フィールド内のリンクをクリック)で、[概要]パネルと[インジケータ]パネルの上部に[Archerに送信済み]通知が表示されます。また、アイコンをクリックしてジャーナルを開くと、そのインシデントがArcherに送信されたことを示すシステム ジャーナル エントリーが表示されており、Archer ID番号が付与されています。
Archerに送信されたすべてのインシデントを表示
注:このオプションはバージョン11.2以降で使用可能です。RSA ArcherがContext Hubでデータ ソースとして設定されている場合は、RSA Archerにインシデントを送信することができ、NetWitness Respondで[Archerに送信]オプションと[Archerに送信済み]ステータスが表示されます。
フィルタを使用してArcher Cyber Incident & Breach Responseに送信されたインシデントを表示できます。
- [対応]>[インシデント]に移動します。
インシデント リストが表示されます。 - [フィルタ]パネルが表示されない場合は、[インシデント リスト]ビューのツールバーで
をクリックします。
- [フィルタ]パネルの[Archerに送信済み]で、[はい]を選択します。
Archer Cyber Incident & Breach Responseに送信されたインシデントを表示するよう、インシデント リストがフィルタ処理されます。
インシデントの更新
インシデントは複数の場所から更新することができます。[インシデント リスト]ビューと[インシデントの詳細]ビューからは、優先度、ステータス、割り当て先を変更できます。たとえば、アナリストの場合、対応中の別のインシデントに関連するインシデントを発見したとき、[インシデント リスト]ビューからそのインシデントを自分に割り当てることができます。SOCマネージャや管理者の場合、[インシデント リスト]ビューで担当者が割り当てられていないインシデントを確認したり、新しいインシデントがあれば担当者を割り当てることができます。SOCマネージャと管理者は、優先度、ステータス、割り当て先を一度に1つのインシデントで更新するのではなく一括更新することができます。
[インシデントの詳細]ビューでは、インシデントの処理を開始したらステータスを[対応中]に変更し、問題が解決した後に[クローズ]または[クローズ- False Positive]に更新することができます。また、インシデントの詳細が確定するのに伴い、インシデントの優先度を中または高に変更する必要が生じる可能性もあります。
インシデント ステータスの変更
インシデントがインシデントのリストに最初に表示されるとき、初期ステータスは「新規」です。インシデントの対応作業が完了するのに伴い、ステータスを更新できます。以下のステータスがあります。
- 新規
- 割り当て済み
- 対応中
- タスク要求中
- タスク完了
- クローズ
- クローズ- False Positive
複数のインシデントのステータスを更新するには:
- [インシデント リスト]ビューで、変更する1つまたは複数のインシデントを選択します。ページ内のすべてのインシデントを選択するには、インシデント リストのヘッダー行のボックスを選択します。選択したインシデントの数は、インシデント リストのフッターに表示されます。
- [ステータス変更]をクリックし、ドロップダウン リストからステータスを選択します。この例では、現在のステータスは[割り当て済み]ですが、アナリストは選択したインシデントのステータスを[対応中]に変更します。
- 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
変更が成功した通知が表示されます。次の例では、更新されたインシデントのステータスが[対応中]と表示されています。
[概要]パネルから1つのインシデントのステータスを変更するには:
- [概要]パネルを開くには、次のいずれかの操作を行います。
- [インシデント リスト]ビューから、ステータス更新の必要があるインシデントをクリックします。
- [インシデントの詳細]ビューで、[概要]タブをクリックします。
[概要]パネルでは、[ステータス]ボタンにインシデントの現在のステータスが表示されます。 - [ステータス]ボタンをクリックし、ドロップダウン リストからステータスを選択します。
変更が成功した通知が表示されます。
インシデント優先度の変更
インシデントのリストはデフォルトでは優先度でソートされています。優先度はインシデントの詳細を調査するときに更新できます。次の優先度があります。
- クリティカル
- 高
- Medium
- 低
注:クローズしたインシデントの優先度を変更することはできません。
複数のインシデントの優先度を更新するには:
- [インシデント リスト]ビューで、変更する1つまたは複数のインシデントを選択します。ページ内のすべてのインシデントを選択するには、インシデント リストのヘッダー行のボックスを選択します。選択したインシデントの数は、インシデント リストのフッターに表示されます。
- [優先度の変更]をクリックし、ドロップダウン リストから優先度を選択します。この例では、現在の優先度は[高]ですが、アナリストは選択したインシデントの優先度を[クリティカル]に変更します。
- 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
変更が成功した通知が表示されます。次の例では、更新されたインシデントのステータスが[クリティカル]と表示されています。
[概要]パネルから1つのインシデントの優先度を変更するには
- [概要]パネルを開くには、次のいずれかの操作を行います。
- [インシデント リスト]ビューから、優先度を変更する必要があるインシデントをクリックします。
- [インシデントの詳細]ビューで、[概要]タブをクリックします。
[概要]パネルでは、[優先度]ボタンにインシデントの現在の優先度が表示されます。 - [優先度]ボタンをクリックし、ドロップダウン リストからステータスを選択します。
変更が成功した通知が表示されます。[優先度]ボタンにインシデントの新しい優先度が表示されます。
他のアナリストへのインシデントの割り当て
インシデントを自分自身に割り当てるときと同じ方法で他のアナリストにインシデントを割り当てることができます。SOCマネージャや管理者は同時に複数のインシデントを1人のユーザに割り当てることができます。
注:クローズしたインシデントの割り当て先を変更することはできません。
ユーザに複数のインシデントを割り当てるには:
- [インシデント リスト]ビューで、ユーザに割り当てるインシデントを選択します。ページ内のすべてのインシデントを選択するには、インシデント リストのヘッダー行のボックスを選択します。選択したインシデントの数は、インシデント リストのフッターに表示されます。
- [割り当て先の変更]をクリックし、ドロップダウン リストからユーザを選択します。次の例では、インシデントは誰にも割り当てられていないため、アナリストに割り当てる必要があります。
- 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
変更が成功した通知が表示されます。割り当て先が選択したユーザに変更されます。
[概要]パネルからインシデントにユーザを割り当てるには:
- [概要]パネルを開くには、次のいずれかの操作を行います。
- [インシデント リスト]ビューで、ユーザに割り当てるインシデントをクリックします。
- [インシデントの詳細]ビューで、[概要]タブをクリックします。
[概要]パネルでは、[割り当て先]ボタンにインシデントの現在の割り当て先が表示されます。次の例では、[割り当て先]ボタンの現在のステータスは[未割り当て]です。 - [割り当て先]ボタンをクリックし、ドロップダウン リストからユーザを選択します。
変更が成功した通知が表示されます。[割り当て先]ボタンに割り当てられたユーザが表示されます。
インシデントの名前変更
インシデントの名前は、[インシデント リスト]ビューと[インシデントの詳細]ビューの[概要]パネルから変更できます。たとえば、複数のインシデントの名前が同じ場合に、問題が明確になるようにインシデントの名前を変更することができます。
- [対応]>[インシデント]に移動します。
- [概要]パネルを開くには、次のいずれかの操作を行います。
- [インシデント リスト]ビューから、名前変更の必要があるインシデントをクリックします。
[概要]パネルが表示されます。 - [インシデントの詳細]ビューで、[概要]パネルに移動します。
[概要]パネルの上のヘッダーで、インシデントIDとインシデントの名前を確認できます。 - ヘッダーでインシデントの名前をクリックし、テキスト エディタを開きます。
- テキスト エディタでインシデントの新しい名前を入力し、チェック マークをクリックして変更を確認します。
たとえば、「High Risk Alerts: ESA for 90.0」という名前を、より明確な「Alerts for mail.emc.com」に変更することができます。
変更が成功した通知が表示されます。
インシデントの名前のフィールドに新しい名前が表示されます。
すべてのインシデント タスクの表示
インシデントに関する追加作業が必要な場合は、インシデントのタスクを作成し、それらのタスクの進行状況をトラッキングすることができます。これは、たとえば、セキュリティ オペレーションの範囲外の作業を実施するときや、コンピュータの再イメージ化をリクエストするときに役立ちます。[タスク リスト]ビューでは、タスクをクローズするまで管理およびトラッキングできます。
- [対応]>[タスク]に移動します。
[タスク リスト]ビューには、すべてのインシデント タスクのリストが表示されます。 - タスクのリストをスクロールすると、次の表で説明する各タスクに関する基本的な情報が表示されます。
リストの一番下に、現在のページに表示中のタスク数、タスクの総数、選択したタスクの数が表示されます。次に例を挙げます。6件中6件を表示中 | 2件選択済み。
タスク リストのフィルタ
タスク リスト内のタスクの数が大量になると、特定のタスクを見つけるのが困難になります。フィルタを使用して、表示するタスクを制限することができます。例えば、直近7日間に作成されたタスクに限定することができます。特定のタスクを検索することもできます。
- [対応]>[タスク]に移動します。
タスク リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[タスク リスト]ビューのツールバーでをクリックすると[フィルタ]パネルが開きます。
- [フィルタ]パネルで1つまたは複数のオプションを選択し、タスクのリストをフィルタします。
- [時間範囲]:[時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲はタスクの作成日時に対するフィルタです。たとえば、[直近1時間]を選択する場合は、過去60分以内に作成されたタスクが表示されます。
- [カスタムの日付範囲]:[時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
- [タスクID]:検索するタスクのタスクIDを入力します(例:REM-123)。
- [優先度]:表示する優先度を選択します。複数選択可能です。
- [ステータス]:タスクのステータスを選択します。複数選択可能です。たとえば、完了した改善タスクを表示するには、[改善済み]を選択します。
- [作成者]:表示するタスクを作成したユーザを選択します。たとえば、Edwardoによって作成されたタスクのみを表示する場合は、[作成者]ドロップダウン リストから[Edwardo]を選択します。タスクの作成者にかかわらずタスクを表示する場合は、[作成者]を選択しないでください。
タスク リストには、選択した条件を満たすタスクが表示されます。タスク リストの一番下で、フィルタにより検出されたタスクの数を確認できます。
次に例を挙げます。6件中6件を表示中 - [フィルタ]パネルを閉じる場合は、[X]をクリックします。フィルタは、削除するまで設定されたままになります。
タスク リストからのフィルタの削除
NetWitness Platformでは、[タスク リスト]ビューのフィルタ選択を記憶します。不要な場合はフィルタ選択を削除することができます。たとえば、表示したいタスクが表示されない場合や、すべてのタスクを表示したい場合は、フィルタをリセットできます。
- [対応]>[タスク]に移動します。
タスク リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[タスク リスト]ビューのツールバーでをクリックすると[フィルタ]パネルが開きます。
- [フィルタ]パネルの一番下にある[フィルタのリセット]をクリックします。
タスクの作成
インシデントを調査して詳細を把握したら、タスクを作成してユーザに割り当て、クローズまでトラッキングすることができます。[インシデントの詳細]ビューからタスクを作成します。
- [対応]>[インシデント]に移動します。
[インシデント リスト]ビューに、すべてのインシデントのリストが表示されます。 - タスクが必要なインシデントを見つけて、[ID]または[名前]フィールドのリンクをクリックします。
[インシデントの詳細]ビューが表示されます。 - [インシデントの詳細]ビューの右上のツールバーで、
を選択します。
[ジャーナル]パネルが表示されます。 - [タスク]タブをクリックします。
- [タスク]パネルで、[新しいタスクの追加]をクリックします。
新しいタスクのフィールドが表示されます。
インシデントがクローズ状態([クローズ]または[クローズ- False Positive])の場合、[新しいタスクの追加]ボタンは無効化されます。 - 次の情報を入力します。
- [名前]:タスクの名前。次に例を挙げます。マシンの再イメージ化。
- [説明]:(オプション)タスクの説明を入力します。該当する参照番号を含めることができます。
- [割り当て先]:(オプション)タスクの割り当て先となるユーザの名前を入力します。
- [優先度]:優先度ボタンをクリックし、ドロップダウン リストからタスクの優先度を選択します。[低]、[中]、[高]、[クリティカル]の中から選択します。
- [保存]をクリックします。
変更が成功したことを示すメッセージが表示されます。インシデント ステータスは[タスク要求中]に変更されます。このインシデントの[タスク]パネルにタスクが表示されます。
[インシデント リスト]ビューでは、インシデントのステータスも[タスク要求中]に変更されます。
すべてのインシデント タスクのリストを表示する[タスク リスト]ビュー([対応]>[タスク])にも表示されます。
注:ステータスが変更されない場合は、Webブラウザの表示を更新してみてください。
タスクの検索
タスクIDがわかっている場合は、フィルタを使用して、タスクをすばやく見つけることができます。たとえば、数千件のタスクの中から特定のタスクを見つけることができます。
- [対応]>[タスク]に移動します。
タスク リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[タスク リスト]ビューのツールバーでをクリックすると[フィルタ]パネルが開きます。
- [タスクID]フィールドに、検索するタスクのタスクIDを入力します(例:REM-1234)。
タスク リストに指定されたタスクが表示されます。結果が表示されない場合は、フィルタをリセットしてください。
タスクの変更
インシデント内およびタスク リストからタスクを変更することができます。たとえば、タスクのステータスを[対応中]に変更し、情報を追加する場合があります。タスクがクローズ状態([該当なし]、[リスク受容]、[改善済み])の場合、[優先度]または[割り当て先]は変更できません。
インシデント内からタスクを変更するには:
-
[対応]>[インシデント]に移動します。
[インシデント リスト]ビューに、すべてのインシデントのリストが表示されます。 -
タスクの更新が必要なインシデントを見つけて、[ID]または[名前]フィールドのリンクをクリックします。
[インシデントの詳細]ビューが表示されます。 - ビューの右上のツールバーで、
を選択します。
[ジャーナル]パネルが表示されます。 - [タスク]タブをクリックします。
- [タスク]パネルの鉛筆アイコンは、変更できるテキスト フィールドを示します。ボタンは、選択するドロップダウン リストがあることを示します。
- 次のフィールドを変更できます。
- [名前]:現在のタスク名をクリックすると、テキスト エディタが開きます。
チェック マークをクリックして、変更を確定します。たとえば、「マシンの再イメージ化」を「至急!マシンの再イメージ化」に変更できます。 - [割り当て先]:[(未割り当て)]または以前の割り当て先の名前をクリックすると、テキスト エディタが開きます。タスクの割り当て先となるユーザの名前を入力します。
チェック マークをクリックして、変更を確定します。 - [優先度]:[優先度]ボタンをクリックし、ドロップダウン リストからタスクの優先度を選択します。[低]、[中]、[高]、[クリティカル]の中から選択します。
- [ステータス]:[ステータス]ボタンをクリックし、ドロップダウン リストからタスクのステータスを選択します。[新規]、[割り当て済み]、[対応中]、[改善済み]、[リスク受容]、[該当なし]のいずれかが表示されます。たとえば、[対応中]にステータスを変更することができます。
- [説明]:説明の下のテキストをクリックすると、テキスト エディタが開きます。
テキストを変更してチェック マークをクリックし、変更を確定します。
- [名前]:現在のタスク名をクリックすると、テキスト エディタが開きます。
変更ごとに、変更が成功したことを示すメッセージが表示されます。
タスク リストからタスクを変更するには:
- [対応]>[タスク]に移動します。
[タスク リスト]ビューには、すべてのインシデント タスクのリストが表示されます。 - タスク リストで、更新するタスクをクリックします。
タスク リストの右側にタスクの[概要]パネルが表示されます。
タスクの[概要]パネルの鉛筆アイコンは、変更できるテキスト フィールドを示します。ボタンは、選択するドロップダウン リストがあることを示します。 - 次のフィールドを変更できます。
- <タスク名>:タスクの[概要]パネルの上部、タスクIDの下で、現在のタスク名をクリックすると、テキスト エディタが開きます。
チェック マークをクリックして、変更を確定します。たとえば、分離ホストを分離ホスト マシンに変更できます。 - [優先度]:[優先度]ボタンをクリックし、ドロップダウン リストからタスクの優先度を選択します。[低]、[中]、[高]、[クリティカル]の中から選択します。
- [ステータス]:[ステータス]ボタンをクリックし、ドロップダウン リストからタスクのステータスを選択します。[新規]、[割り当て済み]、[対応中]、[改善済み]、[リスク受容]、[該当なし]のいずれかが表示されます。
- [割り当て先]:[(未割り当て)]または以前の割り当て先の名前をクリックすると、テキスト エディタが開きます。タスクの割り当て先となるユーザの名前を入力します。
チェック マークをクリックして、変更を確認します。 - [説明]:説明の下のテキストをクリックすると、テキスト エディタが開きます。
テキストを変更してチェック マークをクリックし、変更を確定します。
- <タスク名>:タスクの[概要]パネルの上部、タスクIDの下で、現在のタスク名をクリックすると、テキスト エディタが開きます。
変更ごとに、変更が成功したことを示すメッセージが表示されます。
タスクの削除
誤って作成したタスクや、必要ないことがわかったタスクは、削除できます。インシデント内および[タスク リスト]ビューからタスクを削除することができます。[タスク リスト]ビューでは、同時に複数のタスクを削除することができます。
インシデント内からタスクを削除するには:
-
[対応]>[インシデント]に移動します。
[インシデント リスト]ビューに、すべてのインシデントのリストが表示されます。 -
タスクの更新が必要なインシデントを見つけて、[ID]または[名前]フィールドのリンクをクリックします。
[インシデントの詳細]ビューが表示されます。 - ビューの右上のツールバーで、
を選択します。
[ジャーナル]パネルが表示されます。 - [タスク]タブをクリックします。
- [タスク]パネルでは、インシデントに対して作成されたタスクを確認できます。
- 削除するタスクの右にある
をクリックします。
- タスクを削除することを確認し、[OK]をクリックします。
タスクがNetWitness Platformから削除されます。NetWitness Platformからタスクを削除しても、他のシステムからは削除されません。
タスク リストからタスクを削除するには:
- [対応]>[タスク]に移動します。
[タスク リスト]ビューには、すべてのインシデント タスクのリストが表示されます。 - タスク リストで、削除するタスクを選択し、[削除]をクリックします。
- タスクを削除することを確認し、[OK]をクリックします。
タスクがNetWitness Platformから削除されます。NetWitness Platformからタスクを削除しても、他のシステムからは削除されません。
インシデントのクローズ
インシデントを調査し、改善し、解決したら、インシデントをクローズします。
- [対応]>[インシデント]に移動します。
- [インシデント リスト]ビューで、クローズするインシデントを選択し、[ステータス変更]をクリックします。
- ドロップダウン リストから[クローズ]を選択します。
変更が成功した通知が表示されます。これでインシデントがクローズされました。クローズしたインシデントの優先度および割り当て先を変更することはできません。
注:[概要]パネルでもインシデントをクローズすることができます。[インシデント リスト]ビューでは同時に複数のインシデントをクローズできます。「インシデント ステータスの変更 」で、詳細を参照してください。