調査:[インシデントの作成]ダイアログ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[インシデントの作成]ダイアログでは、アナリストは[イベント]ビューで選択したイベントからインシデントを作成できます。インシデントは[対応]ビューで作業しているインシデント対応者が使用できるようになります。

このダイアログにアクセスするには、[調査]>[イベント]ビューで、ツールバーから[インシデント]>[新しいインシデントの作成]を選択します。

ワークフロー

high-level Investigate workflor with Create an Incident in Repond highlighted

実行したいことは何ですか?

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターまたはインシデント対応者既存のインシデントまたは新規のインシデントへの1つまたは複数のイベントの追加*対応のためのインシデントへのイベントの追加

関連トピック

簡単な説明

次の図に、[インシデントの作成]ダイアログの例を示します。機能は表で説明します。

the Create an Incident dialog

                                           
機能説明
アラートの作成[アラート サマリ]フィールドには、アラートを選択した時のクエリが自動入力されます。これは、このインシデントを作成する時に選択されていたクエリです。[重大度]フィールドには、選択したアラートの重大度として、1~100の整数が示されます。
名前(必須)インシデントを識別する名前を指定します。この例では、名前は「Sample Incident」です。このインシデントに追加されるイベントの特性を明確に識別する名前を指定します。
サマリ(オプション)インシデントのオプションの説明を指定します。優れたサマリを指定すると、他のアナリストや対応者がインシデントを明確に識別することができます。
割り当て先(オプション)インシデントをSOC内のユーザに割り当てます。[割り当て先]をクリックすると、インシデントに対応するSOC担当者のユーザ名がドロップダウン リストに表示されます。
カテゴリ(オプション)インシデントのカテゴリーを識別します。[カテゴリー]をクリックすると、インシデントのカテゴリーとサブカテゴリーのドロップダウン リストが表示されます。インシデントが属するカテゴリー(複数可)を選択できます。カテゴリは主要なグループ (環境、エラー、ハッキング、マルウェア、誤用、ソーシャル)に分類されます。
優先度インシデントの優先度を識別します。[優先度]をクリックすると、優先度のドロップダウン リストが開きます。ドロップダウン リストには、[クリティカル]、[高]、[中]、[低]が表示されます。
キャンセル変更を保存せずにダイアログを閉じます。
保存インシデントを保存して、ダイアログ ボックスを閉じます。インシデントが正常に作成されたことを示すメッセージが表示されます。
You are here
Table of Contents > Investigateの参考情報 > [インシデントの作成]ダイアログ

Attachments

    Outcomes