セキュリティインシデントの作成
セキュリティインシデントは、フォームから手動で作成することも、Splunk などの統合されたサードパーティのアラートモニタリングツールから受信したセキュリティイベントを介して自動的に作成することもできます。
重要:
セキュリティインシデントレスポンスの最新機能は、セキュリティインシデントレスポンスワークスペースでのみ利用できます。最新の セキュリティインシデントレスポンス または セキュリティインシデントレスポンスワークスペース バージョンをインストールするかアップグレードして、シフト引き継ぎ、リスクスコア算出などの機能にアクセスして活用します。
セキュリティロールがある場合は、次のいずれかの方法を使用して、セキュリティインシデントを手動で作成できます。
| メソッド | 説明 |
|---|---|
| セキュリティインシデントリストから手動で作成する | [セキュリティインシデント] リストで、[ 新規 ] を選択して新しいセキュリティインシデントを作成します。 |
| セキュリティインシデントカタログから手動で作成する | セキュリティインシデントカタログで定義されたセキュリティ脅威のカテゴリから選択して、セキュリティインシデントを作成できます。 |
| インシデント管理 | インシデント管理のインシデントフォームで、[ セキュリティインシデントを作成 ] を選択して新しいセキュリティインシデントを作成します。 注: sn_si.disable_duplicate_security_incident システムプロパティを有効にすることで、重複セキュリティインシデントの作成を回避できます。 |
| セキュリティ要求から手動で変換する | [セキュリティ要求] フォームで、[ セキュリティインシデントに変換 ] を選択して、新しいセキュリティインシデントを作成します。 |
| イベント管理アラートから手動で作成する | [イベント管理アラート] フォームで、[ セキュリティインシデントの作成 ] を選択して、アラートから新しいセキュリティインシデントを作成します。 |
| アラートからの手動での作成 | イベント管理アラートフォームで、[ セキュリティインシデントの作成 ] を選択して、新しいセキュリティインシデントを作成します。 |
| 脆弱性レコードから手動で変換する (脆弱性対応プラグインがアクティブ化されている場合) | [脆弱性一致アイテム] フォームで、[ セキュリティインシデントを作成 ] を選択して、新しいセキュリティインシデントを作成します。 |
セキュリティインシデントの自動作成
通常、セキュリティアドミニストレーターは、セキュリティインシデントを自動的に生成するためのアラートルールを設定する責任があります。
| メソッド | 説明 |
|---|---|
| アラートルールを使用して自動的に作成する | データセンターの イベント管理アプリケーションで定義されたアラートルールに基づいて、セキュリティインシデントを作成できます。 |