セキュリティインシデントのクローズワークフロー
インシデントステータスを更新して、セキュリティインシデントをクローズします。
始める前に
必要なロール:sn_si.analyst
手順
-
クローズ処理を実行します。
これは、セキュリティインシデントをクローズする前にタスクをレビューする必須のステップです。応答タスクは、セキュリティインシデントとしてクローズする前に、アナリストがレビューし、クローズまたはキャンセルする必要があります。アナリストが [アクティブなタスクをレビュー] をクリックすると、[応答タスク] タブに移動します。セキュリティインシデントをクローズ中であることを示すセッションメッセージが表示されます。[続行] をクリックします。
- [続行] をクリックします。最初のステップである、セキュリティインシデントのクローズにおけるアクティブなタスクのレビューが完了しました。
図 : 1. クローズタスクのレビュー - 必要に応じて、次のステップでアナリストがレビューするアクティブな Playbook を確認します。リンクをクリックすることで、アクティブな Playbook タスクをレビューし、必要に応じてクローズできます。 注:アクティブなワークフロー、Playbook アクティビティ、およびフローは、セキュリティインシデントのクローズ時に自動的にキャンセルされます。
図 : 2. Playbook タスクのレビュー - インシデントの事後レビューレポート:続いてインシデントの事後アクティビティをレビューし、クローズを続行します。アセスメントがオプションの場合はステップをスキップし、アセスメントが必須の場合はアセスメントを実施して完了します。
図 : 3. レビュー/アセスメントの実施 - レポートの設定/プレビュー:これもオプションのステップです。リンクをクリックしてレポートを確認し、[次へ] と進みます。
- 解決策の詳細を入力 (Provide Resolution details):アナリストは、チェックボックスをオンにしてナレッジ記事を自動的に作成できます。
- [クローズコード] と [クローズメモ] を入力し、[インシデントのクローズ] をクリックします。
注:アナリストが [セキュリティインシデントをクローズ] ダイアログボックスをキャンセルした場合、アナリストは [詳細] タブに移動し、インシデントステータスを [クローズ] に変更することができます。