アラートからのインシデントまたはセキュリティインシデントの作成
アラートをエスカレートして、根底にある問題を解決できるユーザーにアサインする必要がある場合は、インシデントをオープンできます。
始める前に
このタスクについて
セキュリティインシデントレスポンス が有効になっている場合は、セキュリティインシデントを作成できます。
アラートフォームからインシデントおよびセキュリティインシデントを手動で作成できます。重複するタスクを防止するため、インシデントを作成する前に、すべてのタスクテンプレートの条件がチェックされます。
EvtMgmtCustomIncidentPopulator.populateFieldsFromAlert スクリプトインクルードを使用して、作成されたインシデントをカスタマイズできます。カスタマイズには、アラートのフィールドをインシデントにマッピングしたり、カスタマイズされた条件に従ってインシデントの作成を中止したりすることなどがあります。詳細については、「カスタムアラートフィールド」を参照してください。
追加の情報フィールドの値が入力されたカスタムアラートフィールド値を使用して、インシデントフィールドに入力できます。アラートにデータをコピーした後に値をインシデントにコピーするには、EvtMgmtCustomIncidentPopulator スクリプトインクルードを使用します。詳細については、「カスタムアラートフィールド」を参照してください。
注:
セキュリティインシデントレスポンスが有効になっている場合、ベースシステムには [重大なアラートの Security インシデントを作成 (Create security incidents for critical alerts)] というアラートアクションルールが含まれています。このアラートアクションルールでは、重大なセキュリティイベントが報告されたときにセキュリティインシデントを作成します。
手順
- 移動先 .
- アラート番号をクリックします。
-
インシデントを作成するには:
- インシデントを作成するには、[クイックインシデント] をクリックします。
- セキュリティインシデントを作成するには、[セキュリティインシデントを作成] をクリックします。このオプションを有効にするには、セキュリティ (secops) プラグインをインストールする必要があります。
- [更新] をクリックします。