[イベント]ビューで調査を行うときに、1つ以上のイベントを選択して、インシデント対応者がRespondで利用可能なインシデントを作成できます。また、アクセス権のある既存のRespondのインシデントにイベントを追加することもできます。
注: 管理者は、「システム セキュリティとユーザ管理ガイド」にある「ロールの権限」と「ロールと権限によるユーザの管理」の説明に従って必要なロールと権限を設定する必要があります。
- [調査]>[イベント]に移動します。
- [イベント]ビューで、1つ以上のイベントを選択してから、[インシデント]>[新しいインシデントの作成]を選択します。
- [インシデントの作成]ダイアログに情報を入力します。
- 重大度を選択します。重大度は1~100の整数で、100が最も重大です。
- インシデントの名前を入力し、[サマリ]フィールドでインシデントについて説明します。
- インシデントの割り当て先をドロップダウン リストから選択します。このリストには、Respondにアクセスできる組み込みのロールと、システムに追加されたカスタム ロールが含まれます。たとえば、このリストには、管理者、アナリスト、DPO、オペレーターのロールや、インシデント対応担当者のロールが含まれている場合があります。
- [カテゴリ]ドロップダウン リストから、このインシデントに適用するアラートのカテゴリを1つ以上選択します。
- [優先度]ドロップダウン リストから、インシデントのカテゴリを選択します。たとえば、インシデントはクリティカル、高、中、低の優先度の場合があります。
- [保存]をクリックします。
新しいインシデントが作成され、Respondの選択されたロールのインシデント キューですぐに利用できるようになります。
- 1つ以上のイベントをインシデントに追加するには、1つ以上のイベントを選択してから、[インシデント]>[既存のインシデントへの追加]を選択します。
- [イベントをインシデントに追加]ダイアログで、重大度を選択し、イベントが追加される1つ以上のインシデントを選択します。インシデントIDまたはインシデント名で既存のインシデントを検索できます。準備ができたら、[インシデントへの追加]をクリックします。
選択したインシデントにイベントが追加され、Respondで更新されます。
Previous Topic:[イベント]ビューでのイベントのエクスポート
Next Topic:分割されたセッションからのイベントの結合
You are here
Table of Contents > [イベント]ビューでのRAWイベントの調査 > 対応のためのインシデントへのイベントの追加