対応:インシデントへの対応

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

インシデントとは、インシデント統合エンジンによって自動的に作成され、特定の基準で論理的にグループ化された一連のアラートです。アナリストは、[対応]ビューに表示されたインシデントを使用して、これらのアラートのグループを優先順位付けし、調査し、改善できます。インシデントは、ユーザ間を移動したり、注釈を付けたり、ノード グラフを使用して探索することができます。インシデントを使用すると、ユーザは、NetWitness Suiteシステムで攻撃やイベントの全容を把握した上でアクションを実行することができます。

対応]ビューは、ネットワーク内の進行中の問題をすばやく特定し、他のアナリストと協力して問題をすばやく解決できるよう設計されています。

[対応]ビューでは、インシデント対応者に重大度順にインシデントのキューが表示されます。キューからインシデントを取得すると、インシデントの調査に役立つ関連するサポート データにアクセスできるようになります。そのデータからインシデントの範囲を判断し、必要に応じてエスカレーションまたは改善することができます。

[対応]ビューでは、インシデント、アラート、タスクを表示することができます。

  • インシデント:インシデントに対応し、インシデントのオープンからクローズまでを管理できます。
  • アラート:NetWitness Suiteが受け取ったすべてのソースからのアラートを管理し、選択したアラートからインシデントを作成できます。
  • タスク:すべてのインシデントに作成されたタスクの詳細なリストを表示し、管理できます。

[対応]>[インシデント]に移動すると、[インシデント リスト]ビューが表示され、そこから選択したインシデントの[インシデントの詳細]ビューにアクセスできます。これらは、インシデントへの対応に使用するメイン ビューです。次の図は、[インシデント リスト]ビューのインシデントの優先度リストを示しています。

Respond view - Incidents List view

次の図は、[インシデントの詳細]ビューに表示される詳細の例を示しています。

Incident Details View

[対応]ビューは、インシデントの評価、データのコンテキストの把握、他のアナリストとのコラボレーション、必要に応じたより詳細な調査への移行を簡単に行えるように設計されています。

インシデントへの対応のワークフロー

次のワークフローは、NetWitness Suiteでインシデントに対応するためにインシデント対応者が使用するプロセスの概要を示しています。

High-level workflow for responding to incidents

最初に、各インシデントに関する基本的な情報を示した、インシデントの優先度リストを確認して、どのインシデントにアクションが必要かを判断します。インシデント内のリンクをクリックすると、[インシデントの詳細]ビューに補足的な詳細情報が表示され、そのインシデントについて明確に把握できるようになります。その情報に基づいて、インシデントをさらに調査できます。その後、インシデントをエスカレーションまたは改善して、インシデントへの対応方法を決定できます。

インシデント対応の基本的なステップは次のとおりです。

  1. インシデントの優先度リストの確認
  2. アクションが必要なインシデントの判断
  3. インシデントの調査
  4. インシデントのエスカレーションまたは改善

 

インシデントの優先度リストの確認

[対応]ビューでは、インシデントの優先度リストを表示できます。インシデント リストには、アクティブなインシデントとクローズしたインシデントの両方が表示されます。

インシデント リストの表示

ほとんどのインシデント対応者には、NetWitness Suiteにログイン後、デフォルト ビューとして設定されている[対応]ビューが表示されます。別のビューがデフォルト ビューに設定されている場合は、そこから[対応]ビューに移動することができます。

  1. NetWitness Suiteにログインします。
    [対応]ビューには、[インシデント リスト]ビューと呼ばれるインシデントのリストが表示されます。
    Incident List View
  2. [対応]ビューにインシデント リストが表示されない場合は、[対応]>[インシデント]に移動します。
  3. インシデント リストをスクロールすると、次の表で説明する各インシデントに関する基本的な情報が表示されます。
                                           
説明
作成日時インシデントの作成日を示します。
優先度インシデントの優先度を示します。優先度はクリティカル、高、中、低のいずれかです。

優先度は色分けされ、赤はクリティカルなインシデント、オレンジはリスク インシデント、黄色はリスク インシデント、緑はリスト インシデントを表します。例:

Shows Risk Levels

リスク スコア

インシデントのリスク スコアを示します。リスク スコアはアルゴリズムにより計算されたインシデントのリスクを示し、0~100の範囲です。100が最大のリスク スコアです。

ID自動的に作成されたインシデント番号を示します。各インシデントには、インシデントの追跡に使用する固有の番号が割り当てられています。
名前インシデント名を示します。インシデント名は、インシデントをトリガーしたルールから取得されます。リンクをクリックすると、選択したインシデントの[インシデントの詳細]ビューに移動します。
ステータス

インシデントのステータスを表示します。次のステータスがあります。新規割り当て済み対応中タスク要求中タスク完了クローズクローズ - False Positive

割り当て先インシデントに現在割り当てられているチームのメンバーを示します。
アラートインシデントに関連するアラートの数を示します。1つのインシデントに多数のアラートが含まれる場合があります。多数のアラートがある場合は、大規模な攻撃を受けている可能性があります。

リストの下部では、現在のページのインシデント数、インシデントの総数、選択した数を確認できます。例:「1115アイテム中1000個を表示中 | 3個が選択済み」のように表示されます。一度に表示できるインシデントの最大数は1,000です。

インシデント リストのフィルタ

[インシデント リスト]ビューに表示するインシデントの数が大量になると、特定のインシデントを見つけることが困難になることがあります。フィルタを使用して、表示するインシデントを制限できます。また、インシデントが発生した期間を選択することもできます。たとえば、過去1時間以内に作成された新しいクリティカル インシデントをすべて表示する必要が生じることがあります。

  1. [フィルタ]パネルがインシデント リストの左に表示されていることを確認します。[フィルタ]パネルが表示されない場合は、[インシデント リスト]ビューのツールバーでFilter iconをクリックすると[フィルタ]パネルが開きます。
    Filters panel
  2.  [フィルタ]パネルで1つまたは複数のオプションを選択し、タスクのリストをフィルタします。
    • 時間範囲]:[時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲はインシデントの作成日に基づきます。たとえば、[直近1時間]を選択する場合は、過去60分以内に作成されたインシデントが表示されます。
    • カスタムの日付範囲]:[時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
      Custom Date Range option in the filter
    • インシデントID]:検索するインシデントのインシデントID(INC-1050など)を入力します。
    • 優先度]:表示する優先度を選択します。複数選択可能です。
    • ステータス]:インシデントのステータスを選択します。複数選択可能です。たとえば、誤検知インシデント(最初は疑わしいと判断され、後で安全であると判明したインシデント)のみを表示するには、[クローズ- False Positive]を選択します。
    • 割り当て先]:表示するインシデントの割り当て先を選択します。たとえば、CaleまたはStanleyに割り当てられたインシデントのみを表示する場合は、[割り当て先]ドロップダウン リストから[Cale]と[Stanley]を選択します。割り当て先に関係なくインシデントを表示する場合は、[割り当て先]で何も選択しないでください。
      (バージョン11.1以降で使用可能)誰にも割り当てられていないインシデントだけを表示するには、[未割り当てのインシデントのみを表示]を選択します。
    • カテゴリ]:ドロップダウン リストから、1つまたは複数のカテゴリを選択します。たとえば、バックドアまたは権限の不正利用のカテゴリに分類されたインシデントのみを表示する場合は、[バックドア]と[権限の不正利用]を選択します。

    インシデント リストには、選択条件を満たすインシデントのリストが表示されます。インシデント リストの下部では、フィルタ処理されたリストのインシデント数を確認できます。
    Number of incidents shown in the Incident List footer

  3. Close (x) iconをクリックして[フィルタ]パネルを閉じ、[インシデント リスト]ビューに戻ると、フィルタ処理されたインシデントが表示されます。

[インシデント リスト]ビューからのフィルタの削除

NetWitness Suiteでは、[インシデント リスト]ビューのフィルタ選択が記憶されます。不要な場合はフィルタ選択を削除することができます。たとえば、表示したいインシデントが表示されない場合や、インシデント リストのすべてのインシデントを表示する場合は、フィルタをリセットできます。

  1. [インシデント リスト]ビューのツールバーでFilter iconをクリックします。
    [フィルタ]パネルがインシデント リストの左に表示されます。
  2. [フィルタ]パネルの下部で[フィルタのリセット]をクリックします。

担当インシデントの表示

担当インシデントを表示するには、インシデントを自分のユーザ名でフィルタ処理します。

  1. [フィルタ]パネルが表示されない場合は、[インシデント リスト]ビューのツールバーでFilter iconをクリックします。
  2. [フィルタ]パネルの[割り当て先]で、ドロップダウン リストから自分のユーザ名を選択します。
    自分に割り当てられているインシデントがインシデント リストに表示されます。

インシデントの検索

インシデントIDがわかっている場合は、フィルタを使用して、インシデントをすばやく見つけることができます。たとえば、数千件のインシデントの中から特定の1つのインシデントを見つけることができます。

  1. [対応]>[インシデント]に移動します。
    [フィルタ]パネルがインシデント リストの左に表示されます。[フィルタ]パネルが表示されない場合は、[インシデント リスト]ビューのツールバーでFilter iconをクリックすると[フィルタ]パネルが開きます。
    Part of Incidents List Filters panel showing example search for an incident in the INCIDENT ID field
  2. [インシデントID]フィールドに、検索するインシデントのインシデントID(INC-43763など)を入力します。

    指定したインシデントが、インシデント リストに表示されます。結果が表示されない場合は、フィルタをリセットしてください。
    Incidents List showing the result of an Incident ID filter

インシデント リストのソート

インシデント リストのデフォルトのソート順は、作成日の降順です(最も新しい作成日が一番上)。

Incidents List showing default sort column "Created"

インシデント リストのソート順を変更するには、リストの列をクリックします。

たとえば、[優先度]列でソートすると、優先度の順にインシデントを表示することができます。これを行うには、[優先度]列にポインタを合わせて、下矢印Down arrow iconをクリックします。インシデント リストが優先度の降順でソートされます(最高の優先度が一番上)(次の図を参照)。

Incident List showing sort by Priority descending

優先度の昇順でソートするには(最低の優先度が一番上)、上矢印Up arrow iconをクリックします(次の図を参照)。

Incident List showing sort by Priority ascending

未割り当てのインシデントの表示

このオプションはバージョン11.1以降で使用可能です。

フィルタを使用して未割り当てインシデントを表示できます。

  1. [フィルタ]パネルが表示されない場合は、[インシデント リスト]ビューのツールバーでFilter iconをクリックします。
  2. [フィルタ]パネルの[割り当て先]で、[未割り当てのインシデントのみを表示]を選択します。
    "Show only unassigned incidents" option filter selection
    インシデント リストが、未割り当てインシデントを表示するようフィルタ処理されます。

自分へのインシデントの割り当て

  1. [インシデント リスト]ビューで、自分に割り当てる1つ以上のインシデントを選択します。
  2. 割り当て先の変更]をクリックし、ドロップダウン リストから自分のユーザ名を選択します。
    Incidents List showing Assignee drop-down list
  3. 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
    Confirm Update dialog

変更が成功した通知が表示されます。
Incident List showing success message

インシデントの割り当て解除

  1. [インシデント リスト]ビューで、割り当て解除する1つ以上のインシデントを選択します。
  2. 割り当て先の変更]をクリックし、ドロップダウン リストから[(未割り当て)]を選択します。
    Incidents List showing Assignee drop-down list with (Unassign) selected
  3. 複数のインシデントを選択した場合、[更新の確認]ダイアログで[OK]をクリックします。
    Confirm Update dialog for Unassign
  4. ステータスが正しいことを確認し、必要に応じて変更します。ステータスを変更するには、1つ以上のインシデントを選択し、[ステータス変更]をクリックして新しいステータスを選択します。
    たとえば、誤ってインシデントを自分自身に割り当てた場合、インシデントの割り当てを解除してから、ステータスを[割り当て済み]から[新規]に変更できます。


You are here
Table of Contents > インシデントへの対応

Attachments

    Outcomes