セキュリティインシデントの情報の表示
関連リンクを使用して、既存のセキュリティインシデントに対してその他のいくつかのアクションを実行できます。
始める前に
必要なロール:sn_si.basic
手順
- 更新するセキュリティインシデントがまだ開いていない場合は、これを開きます。
-
[関連リンク] 内で、次のタスクを実行できます。
オプション 説明 手動 Runbook を表示 このセキュリティインシデントで利用可能な Runbook のリストを表示します。 ワークフロー このインシデントに関連付けられたワークフローを表示します。 複数の観測事象を追加 カンマ、改行、タブ、またはパイプ区切り形式で観測事象のリストを追加します。 セキュリティケースに追加 セキュリティインシデントを 1 つ以上のセキュリティケースに追加します。新しいセキュリティケースを作成し、このセキュリティインシデントをそのケースに追加することもできます。 QRadar IP サマリーを取得 QRadar 統合が利用可能で、有効な CI、ソース、および宛先 IP アドレスが含まれている場合、QRadar ワークフローをトリガーして、作業メモに結果を表示します。 オーケストレーションを実行 Security Operations ワークフローを選択して実行します。 View SLA timeline タスク SLA レコードまたは SLA 定義から、SLA タイムラインを表示できます。 すべての関連リストを表示 すべての標準関連リストと手動で追加されたリストを表示します。 注:手動で追加されたアイテムは、このビューでのみ使用できます。影響を受けるアイテムを表示 このインシデントによって直接影響を受ける CI、ユーザー、およびサービスのリストを表示します。 関連アイテムを表示 このインシデントの影響を受ける関連インシデント、CI、ユーザー、およびグループのリストを表示します。 IoC を表示 このインシデントに関連付けられた観測事象、インジケーター、マルウェア、モードとメソッド、およびセキュリティスキャン要求のリストを表示します。 拡張データを表示 このインシデントに関連付けられた拡張データ、プロセス、サービス、統計、ルックアップ、ファイアウォールログ、および侵害されたユーザー情報のリストを表示します。 対応タスクを表示 このインシデントに関連付けられたタスク、SLA、リスクスコア監査、機能停止、および Exchange 検索のリストを表示します。 詳細を外部システムで表示 このセキュリティインシデントが外部アプリケーションから、直接またはイベントによって生成されており、元のデータへのリンクが提供されている場合は、[詳細を外部システムで表示] アクションによって URL が開きます。このインシデントを生成したログ全体を表示および検索できます。
脆弱性のスキャン (Scan for Vulnerabilities) 脆弱性対応 がアクティブになっており、影響を受けるセキュリティインシデントの CI を少なくとも 1 つ選択している場合は、CI に存在する脆弱性を特定するためにスキャン要求を送信できます。