インシデント管理
EventLog Analyzerは、セキュリティインシデントの管理と調査のプロセスを効率化するのに役立ちます。[アラート]タブ → [インシデント]に移動して、セキュリティインシデントのステータスを追跡できます。
インシデントの表示と編集
インシデント画面では、ネットワーク内のすべてのインシデントのリストを、担当者、ステータス、重要度などの重要な情報とともに表示できます。任意のインシデントをクリックすると、インシデントの名前、説明、担当者、ステータス、重要度を表示および編集できます。[証拠]と[メモ]タブには、インシデントに添付された証拠とメモのリストが表示されます。[分析ログ]タブは、インシデントの作成、変更、および削除に関連するイベントを記録および表示します。
インシデント画面には、インシデントの経過時間、作成者、作成日時などの詳細が表示されます。[アクター]ウィジェットには、インシデントの原因となったユーザー、エンティティ、サービス、プロセスのリストが含まれており、担当者がインシデントを迅速に調査して是正措置を講じるのに役立ちます。
インシデントの作成方法
[アラート]タブ → [インシデント] → [+インシデントを追加]に移動することで、EventLog Analyzerでインシデントを作成できます。
- インシデント画面で、インシデントの名前と説明をそれぞれのフィールドに入力します。
- それぞれのドロップダウンメニューから、インシデントの担当者、重要度、およびステータスを選択します。
- [新規作成]をクリックします。
[分析ログ]タブから、インシデントの作成に関するイベントを確認できます。
その他のインシデントの作成方法
アラートをインシデントとしてマッピングする方法
EventLog Analyzerでは、発報されたアラートをインシデントとしてマッピングし、セキュリティ技術者を割り当てて、インシデントの対応ステータスを追跡できます。
- [アラート]タブに移動します。
- インシデントを作成するアラートを選択します。
- アラートテーブルの上部にある[+インシデントに追加]をクリックし、[+新しいインシデントを追加する]をクリックして新しいインシデントを作成します。
- インシデントの名前と説明を入力します。
- それぞれのドロップダウンメニューから、インシデントの担当者、重要度、およびステータスを選択します。
- [新規作成]をクリックします。
アラートを選択し、[+インシデントに追加]をクリックして、表示されたリストから既存のインシデントを選択することで、インシデントの証拠としてアラートを追加することもできます。アラートは、選択したインシデントの[証拠]タブに表示されます。
検索結果をインシデントとしてマッピングする方法
検索結果をインシデントとしてマッピングして、攻撃を追跡し、根本原因の分析を行うことができます。
- [検索]タブに移動し、必要な検索クエリを実行します。
- 検索結果画面で、[インシデント]をクリックします。
- インシデントに追加する検索結果を選択します。
- [+インシデントに追加]をクリックして、検索結果を追加するインシデントを選択します。
- [+新しいインシデントを追加する]をクリックして、新しいインシデントを作成することもできます。
- 新しいインシデントを作成する場合は、インシデントの名前と説明を入力します。それぞれのドロップダウンメニューから、インシデントの担当者、重要度、およびステータスを選択します。
- [新規作成]をクリックします。
インシデントの[証拠]タブに、検索結果が証拠として表示されます。
レポートをインシデントとしてマッピングする方法
レポートで異常が検出された場合は、イベントをインシデントとしてマッピングし、専任のITセキュリティ専門家を割り当てて徹底的に調査することで、レポートで検出された異常なイベントをさらに調査できます。検出されたイベントをインシデントとしてマッピングする方法は、以下のとおりです。
- [レポート]タブに移動し、インシデントとして追加するレポートをクリックします。
- [インシデント]をクリックして、関心のあるイベントを選択します。
- [+インシデントに追加]をクリックして、選択したイベントを追加するインシデントを選択します。
- [+新しいインシデントを追加する]をクリックして、新しいインシデントを作成することもできます。
- 新しいインシデントを作成する場合は、インシデントの名前と説明を入力します。それぞれのドロップダウンメニューから、インシデントの担当者、重要度、およびステータスを選択します。
- [新規作成]をクリックします。
指定したインシデントの[証拠]タブに、レポートのイベントが表示されます。
インシデントルールの設定
デバイス、デバイスグループ、およびアラートプロファイルに事前定義したインシデントルールを設定して、指定した期間内に特定の数のアラートが発報された場合にインシデントを自動的に作成できます。
インシデントルールを作成する方法
- [アラート]タブ → [インシデント] → [インシデントルール] → [+インシデントルールを追加]に移動します。
- インシデントルールの名前と説明を入力します。
- [アサイン先]ドロップダウンメニューから、インシデントルールによって作成されたインシデントを割り当てる技術者を選択します。
- [重要度]から、重要度(重大、警告、または注意)を選択します。
- インシデントを作成するためのしきい値を入力します。指定した数のアラートが指定した期間内に発報されると、インシデントが作成されます。
- [基準]で、インシデントを作成する対象のデバイス、デバイス(ホスト)グループ、またはアラートプロファイルを指定します。[+]アイコンをクリックして別のフィールドを追加し、ANDおよびORを使用して条件を結合することにより、複数のフィールドを含む条件を作成することもできます。
- [保存]をクリックします。
インシデント名をクリックすることで、インシデントの名前、説明、担当者、重要度、およびステータスを編集できます。また、インシデントの証拠、メモ、分析ログ、およびアクターを表示できます。インシデントの作成者、作成日時、およびインシデントの経過時間を表示することもできます。
注記:EventLog Analyzerインスタンスでは、最大10個のインシデントルールを作成できます。また、インシデントルールごとに、1日最大50件のインシデントをトリガーできます。
インシデントビューの作成
[閲覧]ドロップダウンメニューから必要なビューを選択することで、すべてのインシデント、アクティブなインシデント、重大なインシデントなどの様々なカテゴリーのインシデントを表示できます。表示するインシデントの種類にフィルターを設定して、カスタムビューを作成することもできます。
フィルターを適用し、[ビューとして保存]をクリックしてビューの名前を入力し、[保存]をクリックします。カスタムビューは、作成したユーザーのみが表示できます。[閲覧]ドロップダウンメニューから、作成したビューの上にマウスオーバーすると、カスタムビューを編集および削除できます。
インシデントルールの表示と編集
[インシデントルール]画面では、インシデントルールを選択して有効化、無効化、および削除できます。
オンデマンドワークフロー
インシデントに対してワークフローを実行できます。
- [アラート] → [インシデント]に移動し、インシデントを選択します。
- [証拠]タブに移動し、[ワークフローを実行する]をクリックします。
- ドロップダウンメニューから実行するワークフローを選択し、[実行]をクリックします。
- ワークフローの実行履歴は、[分析ログ]タブから確認できます。
- ワークフローの実行ステータスは、画面右上の[修復が実行されました]に表示されます。エクスポートしたレポートにも同じことが記録されます。
注記:単一のアラートまたはインシデントに対して複数のワークフローを実行することもできます。