対応:[インシデント リスト]ビュー

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

[インシデント リスト]ビュー([対応]>[インシデント])には、インシデント対応者およびその他のアナリストのために、さまざまなソースから作成されたインシデントのリストが優先度順に表示されます。たとえば、パケットまたはログのC2などのように、自動脅威検出のESAルール、NetWitness Endpoint、ESA Analyticsモジュールから作成されたインシデントが表示されます。[インシデント リスト]ビューからは、対応が必要なインシデントを迅速に選別し、対応の進捗を管理するために必要な情報に簡単にアクセスできます。

ワークフロー

次のワークフローは、NetWitness Suiteでインシデントに対応するためにインシデント対応者が使用するプロセスの概要を示しています。

Incidents List view workflow diagram

[インシデント リスト]ビューでは、各インシデントに関する基本情報を、優先度順に表示されたインシデントのリストで確認できます。また、インシデントの割り当て先、優先度、ステータスを変更することもできます。インシデント リストに大量のインシデントが表示される可能性があるため、時間範囲、インシデントID、カスタム日付範囲、優先度、ステータス、割り当て先、カテゴリ別にインシデントをフィルタするためのオプションがあります。

実行したいことは何ですか?

                                                          
ロール 実行したいこと手順

インシデント対応者、アナリスト、SOCマネージャ

優先度付けされたインシデントの表示*

インシデントの優先度リストの確認

インシデント対応者、アナリスト、SOCマネージャ

インシデント リストのフィルタおよびソート*インシデント リストのフィルタ
インシデント対応者、アナリスト担当インシデントの表示*担当インシデントの表示
インシデント対応者、アナリスト自分へのインシデントの割り当て*自分へのインシデントの割り当て

インシデント対応者、アナリスト、SOCマネージャ

インシデントの検索*インシデントの検索

インシデント対応者、アナリスト、SOCマネージャ

インシデントの更新。*

インシデントのエスカレーションまたは改善

インシデント対応者、アナリストインシデント詳細の表示。

アクションが必要なインシデントの判断

インシデント対応者、アナリストさらに詳しいインシデントの調査。インシデントの調査
インシデント対応者、アナリスト、SOCマネージャタスクの作成。インシデントのエスカレーションまたは改善

*これらのタスクはここ(つまり、[インシデント リスト]ビュー)で完了できます。

関連トピック

簡単な説明

次の例は、[フィルタ]パネルが表示された最初の[インシデント リスト]ビューを示しています。インシデントのリストでインシデントをクリックすると、インシデントの[概要]パネルを開くことができます。

Incidents List view diagram showing Filter Panel and access to Overview Panel

                 
1[フィルタ]パネル
2インシデントのリスト
3[概要]パネル

ハイパーリンクされたIDまたは名前をクリックすると、インシデントのリストから[インシデントの詳細]ビューに直接移動できます。[概要]パネルは、[インシデントの詳細]ビューにも表示されます。[インシデントの詳細]ビューの詳細については、「[インシデントの詳細]ビュー」を参照してください。

[インシデント リスト]ビュー

[インシデント リスト]ビューにアクセスするには、[対応]>[インシデント]に移動します。[インシデント リスト]ビューには、すべてのインシデントのリストが表示されます。[インシデント リスト]ビューは、[フィルタ]パネル、インシデントのリスト、インシデントの[概要]パネルで構成されています。

次の図は、左側の[フィルタ]パネルと、右側のインシデントのリストを示しています。

Incident Lists View

次の図は、左側のインシデントのリストと、右側のインシデントの[概要]パネルを示しています。

Incidents List view showing Overview panel

インシデントのリスト

インシデントのリストには、すべてのインシデントが優先度順に表示されます。このリストをフィルタして、関心のあるインシデントのみを表示することができます。

                                            
説明
作成日時インシデントの作成日を示します。
優先度 インシデントの優先度を示します。優先度はクリティカル、高、中、低のいずれかです。

優先度は色分けされ、赤はクリティカルなインシデント、オレンジはリスク インシデント、黄色はリスク インシデント、緑はリスト インシデントを表します。例:

Shows Priority Levels

リスク スコア

インシデントのリスク スコアを示します。リスク スコアはアルゴリズムで計算されたインシデントのリスクを示し、0~100の範囲です。100が最大のリスク スコアです。

ID自動的に作成されたインシデント番号を示します。各インシデントには、インシデントの追跡に使用する固有の番号が割り当てられています。
名前インシデント名を示します。インシデント名は、インシデントをトリガーしたルールから取得されます。リンクをクリックすると、選択したインシデントの[インシデントの詳細]ビューに移動します。
ステータス

インシデントのステータスを表示します。次のステータスがあります。新規、割り当て済み、対応中、タスク要求中、タスク完了、クローズ、クローズ - False Positive。

割り当て先インシデントに現在割り当てられているチームのメンバーを示します。
アラートインシデントに関連するアラートの数を示します。1つのインシデントに多数のアラートが含まれる場合があります。多数のアラートがある場合は、大規模な攻撃を受けている可能性があります。

リストの下部では、現在のページのインシデント数、インシデントの総数、選択したインシデントの数を確認できます。例えば、「2517件中1000件を表示中 | 2件選択済み」のように表示されます。一度に表示できるインシデントの最大数は1,000です。

[フィルタ]パネル

次の図は、[フィルタ]パネルで使用可能なフィルタを示しています。

Incidents List Filter panel

[インシデント リスト]ビューの左側にある[フィルタ]パネルには、インシデントのリストをフィルタするために使用できるオプションがあります。[フィルタ]パネルから移動しても、[インシデント リスト]ビューではフィルタの選択項目が保持されます。

                                            
オプション説明
時間範囲 [時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲は、アラートを受信した日付に基づきます。たとえば、[直近1時間]を選択する場合は、過去60分以内に受信されたアラートが表示されます。
カスタムの日付範囲 [時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
Custom Date Range
インシデントID検索するインシデントのインシデントID(INC-1050など)を入力できます。

優先度

表示する優先度を選択します。複数選択可能です。

ステータス

インシデントのステータスを選択します。複数選択可能です。たとえば、誤検知インシデント(最初は不審と判断され、後で安全であると判明したインシデント)のみを表示するには、[クローズ- False Positive]を選択します。

割り当て先

表示するインシデントの割り当て先を選択します。たとえば、CaleまたはStanleyに割り当てられたインシデントのみを表示する場合は、[割り当て先]ドロップダウン リストから[Cale]と[Stanley]を選択します。割り当て先に関係なくインシデントを表示する場合は、[割り当て先]で何も選択しないでください。
(バージョン11.1以降で使用可能)誰も割り当てられていないインシデントだけを表示するには、[未割り当てのインシデントのみを表示]を選択します。

カテゴリドロップダウン リストから、1つまたは複数のカテゴリを選択します。たとえば、バックドアまたは権限の不正利用のカテゴリに分類されたインシデントのみを表示する場合は、[バックドア]と[権限の不正利用]を選択します。

フィルタのリセット

フィルタの選択を解除します。

[概要]パネル

[概要]パネルには、選択したインシデントに関する基本的なサマリ情報が表示されます。インシデント リストから、インシデントをクリックして[概要]パネルにアクセスできます。[インシデントの詳細]ビューの[概要]パネルにも同じ情報が表示されます。

Incident Overview panel

次の表に、インシデントの[概要]パネルに表示されるフィールドを示します。

                                                       

フィールド

説明

<インシデントID> インシデントIDが表示されます。
<インシデント名>インシデントの名前が表示されます。インシデント名をクリックすると変更できます。たとえば、ルールによって多数の同じ名前のインシデントが作成される可能性があります。この場合、インシデント名をより具体的に変更することができます。

作成日時

インシデントの作成日時を示します。

ルール/Byインシデントを作成したルールの名前またはインシデントを作成したユーザの名前を示します。
リスク スコアアルゴリズムにより計算されたインシデントのリスクを示し、0~100の範囲です。100が最大のリスク スコアです。
優先度インシデントの優先度を示します。優先度はクリティカル、高、中、低のいずれかです。優先度を変更するには、優先度ボタンをクリックし、ドロップダウン リストから新しい優先度を選択します。
ステータスインシデントのステータスを表示します。ステータスは、新規、割り当て済み、対応中、タスク要求中、タスク完了、クローズ、クローズ - False Positiveのいずれかです。ステータスを変更するには、ステータス ボタンをクリックし、ドロップダウン リストから新しいステータスを選択します。
割り当て先インシデントに現在割り当てられているチームのメンバーを示します。割り当て先を変更するには、[割り当て先]ボタンをクリックし、ドロップダウン リストから新しい割り当て先を選択します。
ソース疑わしいアクティビティの検出に使用されたデータ ソースを表示します。

カテゴリ

インシデント イベントのカテゴリを表示します。

要因インシデントを発生させたインジケータのカウントを表示します。

ツールバーのアクション

この表には、[インシデント リスト]ビューで使用できるツールバーのアクションが示されています。

                                    
オプション説明
Filter icon

アラートのリストに表示するアラートを制限するため、[フィルタ]パネルを開くことができます。

Close (X) icon

パネルを閉じます。

優先度の変更]ボタンインシデント リストで選択した1つ以上のインシデントの優先度を変更できます。
ステータス変更]ボタン選択した1つ以上のインシデントのステータスを変更できます。
割り当て先の変更]ボタン選択した1つ以上のインシデントの割り当て先を変更できます。
削除]ボタン管理者やデータ プライバシー責任者などの適切な権限を持っている場合は、選択したインシデントを削除できます。
You are here
Table of Contents > NetWitness Respondに関する参考情報 > [インシデント リスト]ビュー

Attachments

    Outcomes