インシデント管理
EventLog Analyzer は、セキュリティ インシデントの管理と調査のプロセスを合理化するのに役立ちます。[アラート] タブ → [インシデント] に移動して、セキュリティ インシデントのステータスを追跡できます。
インシデントの表示と編集
[インシデント] ページでは、ネットワーク内のすべてのインシデントのリストを、担当者、ステータス、重大度などの重要な情報とともに表示できます。インシデントをクリックして、インシデントの名前、説明、担当者、ステータス、重大度を表示および編集できます。[証拠とメモ] タブには、インシデントに添付された証拠とメモのリストが表示されます。アクティビティ ログページは、インシデントの作成、変更、および削除に関連するイベントを記録および表示します。
インシデント ページには、インシデントの年齢、作成者、作成日時などの詳細が表示されます。アクターウィジェットには、担当者がインシデントを迅速に調査して是正措置を講じるのに役立つ、インシデントに責任を持つユーザー、エンティティ、サービス、およびプロセスのリストが含まれています。
インシデントを作成する手順
[アラート] タブ → [インシデント] → [+インシデントの追加] に移動して、EventLog Analyzer でインシデントを作成できます。
- [インシデント]ページで、インシデントの名前と説明をそれぞれのフィールドに入力します。
- それぞれのドロップダウン メニューから、インシデントの担当者、重大度、およびステータスを選択します。
- 作成をクリックします。
[アクティビティ ログ]ペインに記録されているインシデント作成イベントを表示できます。
さらに、次の方法で EventLog Analyzer でインシデントを作成できます。
アラートをインシデントとしてマッピングする手順
EventLog Analyzer では、トリガーされたアラートをインシデントとしてマッピングし、セキュリティ技術者を割り当ててインシデントに対応し、以下の手順に従ってそのステータスを追跡できます。
- [アラート] タブに移動します。
- インシデントを作成するアラートを選択します。
- アラート テーブルの上部にある [+インシデントに追加] ボタンをクリックし、[+新しいインシデントを追加] オプションをクリックして新しいインシデントを作成します。
- インシデントの名前と説明を入力します。
- それぞれのドロップダウン メニューから、インシデントの担当者、ステータス、重大度を選択します。
- 作成をクリックします。
アラートを選択し、[+インシデントに追加] ボタンをクリックして、表示されたリストから必要なインシデントを選択することにより、インシデントの証拠としてアラートを追加することもできます。アラートは、選択したインシデントの [証拠] タブで表示できるようになりました。
検索結果をインシデントとしてマッピングする手順
EventLog Analyzer を使用すると、検索結果をインシデントとしてマッピングして、次の手順に従って攻撃を追跡し、根本原因分析を行うことができます。
- 検索タブに移動し、必要な検索クエリを実行します。
- 検索結果ペインで、[インシデント] ボタンをクリックします。
- 次に、インシデントに追加する検索結果を選択します。
- [+インシデントに追加] ボタンをクリックして、検索結果を追加するインシデントを選択します。
- または、[+新しいインシデントの追加] リンクをクリックして、選択した検索結果をマッピングする新しいインシデントを作成することもできます。
- 新しいインシデントを作成する場合は、インシデントの名前と説明を入力します。それぞれのドロップダウン メニューから、担当者、ステータス、および重大度を選択します。
- 作成をクリックします。
インシデントの [証拠] タブの下に証拠として追加された検索結果を表示できるようになりました。
レポートをインシデントとしてマッピングする手順
レポートで異常が検出された場合は、レポートで指定された異常なイベントをインシデントとしてマッピングし、専任の IT セキュリティ専門家を割り当てて徹底的に調査することで、さらに調査できます。以下の手順に従って、報告されたイベントをインシデントとしてマッピングできます。
- [レポート] タブに移動し、インシデントとして追加するレポートをクリックします。
- [インシデント] ボタンをクリックして、関心のあるイベントを選択します。
- [+ インシデントに追加] ボタンをクリックし、選択したイベントを追加するインシデントの名前を選択します。
- または、[+ 新しいインシデントの追加] リンクをクリックして、新しいインシデントを作成することもできます。
- 新しいインシデントを作成する場合は、インシデントの名前と説明を入力します。それぞれのドロップダウン メニューから、担当者、ステータス、および重大度を選択します。
- 作成をクリックします。
選択したインシデントの [証拠] タブにリストされているレポートのイベントを表示できるようになりました。
インシデント ルールの構成
デバイス、デバイス グループ、およびアラート プロファイルに事前定義されたインシデント ルールを構成して、指定された期間内に特定の数のアラートがトリガーされたときにインシデントを自動的に作成できます。
インシデント ルールを作成する手順
- [アラート] タブ → [インシデント] → [インシデント ルール] → [+インシデント ルールの追加] に移動します。
- インシデント ルールの名前と説明を入力します。
- [割り当て先] ドロップダウン メニューから名前を選択して、このルールによって作成されたインシデントを技術者に割り当てます。
- 重大度を選択します。重大度フィールドにおいて注意、重大、または問題を選択できます。
- インシデントを作成するためのしきい値を入力します。指定された数のアラートが時間枠内にトリガーされると、インシデントが作成されます。
- [基準] フィールドで、インシデントを作成する対象のデバイス、デバイス グループ、またはアラート プロファイルを指定します。+アイコンをクリックして別のフィールドを追加し、ANDおよびOR論理演算子を使用してそれらを結合することにより、複数のフィールドで条件を作成することもできます。
- [保存] をクリックします。
インシデント名をクリックして、インシデントの名前、説明、担当者、重大度、およびステータスを編集できます。インシデントの証拠、メモ、アクティビティ ログ、およびアクターを表示できます。さらに、このページでは、インシデントの作成者、作成日時、およびインシデントの経過時間を表示することもできます。
注意:EventLog Analyzer インスタンスには最大 10 個のインシデント ルールを作成できます。このソリューションは、1 日にインシデント ルールごとに最大 50 件のインシデントをトリガーできます。
インシデント ビューの作成
[ビューの選択] ドロップダウン メニューから必要なビューを選択することで、[すべてのインシデント]、[アクティブなインシデント]、[重大なインシデント] などのさまざまなカテゴリでインシデントを表示できます。表示するインシデントの種類のフィルターを構成して、カスタム ビューを作成することもできます。
フィルタを適用し、[ビューとして保存]リンクをクリックしてビューの名前を入力し、[保存] をクリックします。カスタム ビューは、それを作成したユーザーに個人的なものであり、そのユーザーだけが表示できます。[ビューの選択] ドロップダウン メニューで作成されたビューの上にマウス ポインターを移動すると、カスタム ビューを編集および削除できます。
インシデント ルールの表示と編集
[インシデント ルール] ページでは、インシデントを選択して有効化、無効化、および削除できます。
