Log360 Cloudのインシデント管理
Log360 Cloudでは、[アラート] タブ → [インシデント] にて、セキュリティインシデントの管理および調査プロセスを可視化できます。
インシデントの表示と編集
[インシデント]ページでは、ネットワーク内のすべてのインシデントのリストを、担当者、ステータス、重大度などの重要な情報とともに表示できます。インシデントをクリックして、インシデントの名前、説明、担当者、ステータス、重大度を表示および編集できます。[エビデンス]と[メモ]タブには、インシデントに貼付したエビデンスとメモのリストが表示されます。アクティビティログページは、インシデントの作成、変更、および削除に関連するイベントを記録および表示します。インシデントページには、インシデントの年齢、作成者、作成日時などの詳細が表示されます。
インシデントを作成する手順
Log360 Cloudのインシデントは、[アラート]タブ → [インシデント] → [+インシデントを追加]に移動して、作成できます。
- [インシデント]ページで、インシデントの名前と説明をそれぞれのフィールドに入力します。
- それぞれのドロップダウン メニューから、インシデントの担当者、重大度、およびステータスを選択します。
- [作成]をクリックします。
他のインシデント作成方法:
アラートをインシデントとしてマッピングする手順
Log360 Cloudでは、トリガーしたアラートをインシデントとしてマッピングできます。
- [アラート]タブに移動します。
- インシデントを作成するアラートを選択します。
- アラートテーブルの上部にある [+インシデントに追加] ボタンをクリックし、[+新しいインシデントを追加] オプションをクリックして新しいインシデントを作成します。
- インシデントの名前と説明を入力します。
- それぞれのドロップダウン メニューから、インシデントの担当者、ステータス、重大度を選択します。
- [作成]をクリックします。
アラートを検出し、[+インシデントに追加]ボタンをクリックし、また表示されたリストから必要なインシデントを選択して、アラートをインシデントへのエビデンス(証拠)として追加できます。
アラートは、選択したインシデントの[エビデンス]タブで表示できます。
検索結果をインシデントとしてマッピングする手順
Log360 Cloudでは、ログの検索結果をインシデントとしてマッピングできます。
- 検索タブに移動し、必要な検索クエリを実行します。
- 検索結果ペインで、[インシデント]ボタンをクリックします。
- インシデントに追加する検索結果を選択します。
- [+インシデントに追加]ボタンをクリックして、検索結果の追加先のインシデントを選択します。
- また、新しいインシデントを作成し、[+新しいインシデントを追加]リンクをクリックすることで、選択した検索結果をマッピングすることもできます。
- 新しいインシデントを作成する場合は、インシデントの名前と説明を入力します。それぞれのドロップダウンメニューから、担当者、ステータス、および重大度を選択します。
- 作成 をクリックします。
レポートをインシデントとしてマッピングする手順
レポートで指定された異常なイベントをインシデントとしてマッピングできます。
- [レポート]タブに移動し、インシデントとして追加するレポートをクリックします。
- [インシデント]ボタンをクリックして、イベントを選択します。
- [+インシデントに追加]ボタンをクリックし、選択したイベントの追加先のインシデントの名前を選択します。
- また、[+新しいインシデントを追加] リンクをクリックして、新しいインシデントを作成することもできます。
- 新しいインシデントを作成する場合は、インシデントの名前と説明を入力します。それぞれのドロップダウンメニューから、担当者、ステータス、および重大度を選択します。
- 作成 をクリックします。
インシデントビューの作成
[ビューの選択]ドロップダウンメニューから必要なビューを選択することで、[すべてのインシデント]、[アクティブなインシデント]、[重大なインシデント]などのさまざまなカテゴリでインシデントを表示できます。表示するインシデントの種類のフィルターを構成して、カスタムビューを作成することもできます。
フィルタを適用し、[ビューとして保存]リンクをクリックしてビューの名前を入力し、[保存]をクリックします。カスタムビューは、それを作成したユーザーに個人的なものであり、そのユーザーだけが表示できます。[ビューを選択]ドロップダウンメニューの作成したビューにカーソルを当て、カスタムビューを編集および削除することができます。