[インシデント リスト]ビュー([対応]>[インシデント])には、インシデント対応者およびその他のアナリストのために、さまざまなソースから作成されたインシデントのリストが優先度順に表示されます。たとえば、結果のリストには、パケットまたはログのC2などのように、自動脅威検出のESAルール、NetWitness Endpoint、ESA Analyticsモジュールから作成されたインシデントが表示されます。[インシデント リスト]ビューからは、対応が必要なインシデントを迅速に選別し、対応の進捗を管理するために必要な情報に簡単にアクセスできます。
ワークフロー
次のワークフローは、NetWitness Platformでインシデントに対応するためにインシデント対応者が使用するプロセスの概要を示しています。
[インシデント リスト]ビューでは、各インシデントに関する基本情報を、優先度順に表示されたインシデントのリストで確認できます。また、インシデントの割り当て先、優先度、ステータスを変更することもできます。インシデント リストに大量のインシデントが表示される可能性があるため、時間範囲、インシデントID、カスタム日付範囲、優先度、ステータス、割り当て先、カテゴリ別にインシデントをフィルタするためのオプションがあります。
実行したいことは何ですか?
*これらのタスクはここ(つまり、[インシデント リスト]ビュー)で完了できます。
関連トピック
簡単な説明
次の例は、[フィルタ]パネルが表示された最初の[インシデント リスト]ビューを示しています。インシデントのリストでインシデントをクリックすると、インシデントの[概要]パネルを開くことができます。
| 1 | [フィルタ]パネル |
| 2 | インシデントのリスト |
| 3 | [概要]パネル |
ハイパーリンクされたIDまたは名前をクリックすると、インシデントのリストから[インシデントの詳細]ビューに直接移動できます。[概要]パネルは、[インシデントの詳細]ビューにも表示されます。[インシデントの詳細]ビューの詳細については、「[インシデントの詳細]ビュー」を参照してください。
[インシデント リスト]ビュー
[インシデント リスト]ビューにアクセスするには、[対応]>[インシデント]に移動します。[インシデント リスト]ビューには、すべてのインシデントのリストが表示されます。[インシデント リスト]ビューは、[フィルタ]パネル、インシデントのリスト、インシデントの[概要]パネルで構成されています。
次の図は、左側の[フィルタ]パネルと、右側のインシデントのリストを示しています。
次の図は、左側のインシデントのリストと、右側のインシデントの[概要]パネルを示しています。
インシデントのリスト
インシデントのリストには、すべてのインシデントが優先度順に表示されます。このリストをフィルタして、関心のあるインシデントのみを表示することができます。
| 作成日時 | インシデントの作成日を示します。 |
| 優先度 | インシデントの優先度を示します。優先度はクリティカル、高、中、低のいずれかです。 優先度は色分けされ、赤はクリティカルなインシデント、オレンジは高リスク インシデント、黄色は中リスク インシデント、緑は低リスト インシデントを表します。次に例を挙げます。 
|
| リスク スコア | インシデントのリスク スコアを示します。リスク スコアはアルゴリズムで計算されたインシデントのリスクを示し、0~100の範囲です。100が最大のリスク スコアです。
|
| ID | 自動的に作成されたインシデント番号を示します。各インシデントには、インシデントの追跡に使用する固有の番号が割り当てられています。 |
| NAME | インシデント名を示します。インシデント名は、インシデントをトリガーしたルールから取得されます。リンクをクリックすると、選択したインシデントの[インシデントの詳細]ビューに移動します。 |
| ステータス | インシデントのステータスを表示します。次のステータスがあります。新規、割り当て済み、対応中、タスク要求中、タスク完了、クローズ、クローズ - False Positive。 |
| 割り当て先 | インシデントに現在割り当てられているチームのメンバを示します。 |
| アラート | インシデントに関連するアラートの数を示します。1つのインシデントに多数のアラートが含まれる場合があります。多数のアラートがある場合は、大規模な攻撃を受けている可能性があります。 |
|
リストの下部では、現在のページのインシデント数、インシデントの総数、選択したインシデントの数を確認できます。次に例を挙げます。「2,517件中1,000件を表示中 | 2件選択済み」のように表示されます。一度に表示できるインシデントの最大数は1,000です。
[フィルタ]パネル
次の図は、[フィルタ]パネルで使用可能なフィルタを示しています。
[インシデント リスト]ビューの左側にある[フィルタ]パネルには、インシデントのリストをフィルタするために使用できるオプションがあります。[フィルタ]パネルから移動しても、[インシデント リスト]ビューではフィルタの選択項目が保持されます。
|
| 時間範囲 | [時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲は、アラートを受信した日付に基づきます。たとえば、[直近1時間]を選択する場合は、過去60分以内に受信されたアラートが表示されます。 |
| カスタムの日付範囲 | [時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
 |
| インシデントID | 検索するインシデントのインシデントID(INC-1050など)を入力できます。 |
| 優先度 | 表示する優先度を選択します。複数選択可能です。 |
| ステータス | インシデントのステータスを選択します。複数選択可能です。たとえば、誤検知インシデント(最初は不審と判断され、後で安全であると判明したインシデント)のみを表示するには、[クローズ- False Positive]を選択します。 |
| 割り当て先 | 表示するインシデントの割り当て先を選択します。たとえば、CaleまたはStanleyに割り当てられたインシデントのみを表示する場合は、[割り当て先]ドロップダウン リストから[Cale]と[Stanley]を選択します。割り当て先に関係なくインシデントを表示する場合は、[割り当て先]で何も選択しないでください。
(バージョン11.1以降で使用可能)割り当てられていないインシデントだけを表示するには、[未割り当てのインシデントのみを表示]を選択します。 |
| カテゴリ | ドロップダウン リストから、1つまたは複数のカテゴリを選択します。たとえば、バックドアまたは権限の不正利用のカテゴリに分類されたインシデントのみを表示する場合は、[バックドア]と[権限の不正利用]を選択します。 |
| ARCHERに送信 | (バージョン11.2以降では、RSA ArcherがContext Hubでデータ ソースとして構成されている場合、インシデントをArcher Cyber Incident & Breach Responseに送信でき、このオプションはNetWitness Respondで使用可能になります)Archerに送信されたインシデントを表示するには、[はい]を選択します。Archerに送信されなかったインシデントについては、[いいえ]を選択します。 |
| フィルタのリセット | フィルタの選択を解除します。 |
[概要]パネル
[概要]パネルには、選択したインシデントに関する基本的なサマリ情報が表示されます。インシデント リストから、インシデントをクリックして[概要]パネルにアクセスできます。[インシデントの詳細]ビューの[概要]パネルにも同じ情報が表示されます。
次の表に、インシデントの[概要]パネルに表示されるフィールドを示します。
| <インシデントID> | インシデントIDが表示されます。 |
| Archerに送信/Archerに送信済み | (バージョン11.2以降では、RSA ArcherがContext Hubでデータ ソースとして構成されている場合、インシデントをArcher Cyber Incident & Breach Responseにエスカレーションでき、このオプションはNetWitness Respondで使用可能になります)
インシデントがArcher Cyber Incident & Breach Responseに送信されたかどうかを示します。 - ARCHERに送信:インシデントはArcherに送信されていません。[Archerに送信]ボタンをクリックすると、インシデントをArcher Cyber Incident & Breach Responseに送信し、追加の処理を実行できます。このアクションは取り消しできません。
 - Archerに送信済み:インシデントは、追加の分析とアクションのためにArcher Cyber Incident & Breach Responseに送信されました。
|
| <インシデント名> | インシデントの名前が表示されます。インシデント名をクリックすると変更できます。たとえば、ルールによって多数の同じ名前のインシデントが作成される可能性があります。この場合、インシデント名をより具体的に変更することができます。 |
| 作成日時 | インシデントの作成日時を示します。 |
| ルール/By | インシデントを作成したルールの名前またはインシデントを作成したユーザの名前を示します。 |
| リスク スコア | アルゴリズムにより計算されたインシデントのリスクを示し、0~100の範囲です。100が最大のリスク スコアです。 |
| 優先度 | インシデントの優先度を示します。優先度はクリティカル、高、中、低のいずれかです。優先度を変更するには、優先度ボタンをクリックし、ドロップダウン リストから新しい優先度を選択します。 |
| ステータス | インシデントのステータスを表示します。ステータスは、新規、割り当て済み、対応中、タスク要求中、タスク完了、クローズ、クローズ - False Positiveのいずれかです。ステータスを変更するには、ステータス ボタンをクリックし、ドロップダウン リストから新しいステータスを選択します。 |
| 割り当て先 | インシデントに現在割り当てられているチームのメンバを示します。割り当て先を変更するには、[割り当て先]ボタンをクリックし、ドロップダウン リストから新しい割り当て先を選択します。 |
| ソース | 疑わしいアクティビティの検出に使用されたデータ ソースを表示します。 |
| カテゴリ | インシデント イベントのカテゴリを表示します。 |
| 要因 | インシデントを発生させたインジケータのカウントを表示します。 |
ツールバーのアクション
この表には、[インシデント リスト]ビューで使用できるツールバーのアクションが示されています。
|
 | インシデント リストに表示するタスクを指定するため、[フィルタ]パネルを開くことができます。 |
|  | パネルを閉じます。 |
| [優先度の変更]ボタン | インシデント リストで選択した1つ以上のインシデントの優先度を変更できます。 |
| [ステータス変更]ボタン | 選択した1つ以上のインシデントのステータスを変更できます。 |
| [割り当て先の変更]ボタン | 選択した1つ以上のインシデントの割り当て先を変更できます。 |
| [削除]ボタン | 管理者やデータ プライバシー責任者などの適切な権限を持っている場合は、選択したインシデントを削除できます。 |
