[インシデントの作成]ダイアログでは、アナリストは[イベント]ビューで選択したイベントからインシデントを作成できます。インシデントを作成する場合、アナリストはインシデントのカテゴリーと優先順位を指定し、インシデントの処理をSOCアナリストに割り当てることができます。
このダイアログにアクセスするには、[Investigation]>[イベント]ビューで、ツールバーから[インシデント]>[新しいインシデントの作成]を選択します。
次の図に、[インシデントの作成]ダイアログの例を示します。
機能
[インシデントの作成]ダイアログの機能について、次の表で説明します。
| 機能 | 説明 |
|---|---|
| アラートの作成 | [アラート サマリー]フィールドには、アラートを選択した時のクエリーが自動入力されます。これは、このインシデントを作成する時に選択されていたクエリーです。[重大度]フィールドには、選択したアラートの重大度として、1~100の整数が示されます。 |
| 名前 | (必須)インシデントを識別する名前を指定します。この例では、名前は「Sample Incident」です。このインシデントに追加されるイベントの特性を明確に識別する名前を指定します。 |
| summary | (オプション)インシデントのオプションの説明を指定します。優れたサマリーを指定すると、他のアナリストや対応者がインシデントを明確に識別することができます。 |
| 割り当て先 | (オプション)インシデントをSOC内のユーザーに割り当てます。[割り当て先]をクリックすると、インシデントに対応するSOC担当者のユーザー名がドロップダウン リストに表示されます。 |
| カテゴリー | (オプション)インシデントのカテゴリーを識別します。[カテゴリー]をクリックすると、インシデントのカテゴリーとサブカテゴリーのドロップダウン リストが表示されます。インシデントが属するカテゴリー(複数可)を選択できます。カテゴリは主要なグループ (環境、エラー、ハッキング、マルウェア、誤用、ソーシャル)に分類されます。 |
| 優先順位 | インシデントの優先度を識別します。[優先順位]をクリックすると、優先順位のドロップダウン リストが開きます。ドロップダウン リストには、[クリティカル]、[高]、[中]、[低]が表示されます。 |
| キャンセル | 変更を保存せずにダイアログを閉じます。 |
| save | インシデントを保存して、ダイアログ ボックスを閉じます。インシデントが正常に作成されたことを示すメッセージが表示されます。 |
