Security Analyst Workspace を使用したセキュリティ上の脅威の管理

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む7読むのに数分

    • セキュリティインシデントレスポンス には、Security Analyst Workspace と呼ばれる新しいユーザーインターフェイスが含まれています。これには、Playbook、ピークビュー、複数のセキュリティインシデントを処理するためのタブなど、分析を支援する強力なツールが含まれています。

    セキュリティアナリスト向けに構築された Security Analyst Workspace の強力なツールを使用して、セキュリティインシデントに関連付けられた、増え続けるデータを分析できます。また、自動化されたアクションにより、攻撃を阻止できるか侵害を受けるかの分かれ道となるセキュリティインシデントの調査時間が大幅に短縮されます。

    Security Analyst Workspace を使用する前に

    の使用 Security Analyst Workspaceを開始する前に、インスタンスに少なくとも London Patch 3 がインストールされていること、正しいロールが定義されていること、および から Security Incident Response UI アプリケーションをダウンロードしました ServiceNow Store.
    注:
    お使いのインスタンスで London パッチ 3 より前のバージョンを実行している場合は、HI Customer Service システムを介して Security Incident Response UI プラグインを要求する必要があります。

    Security Analyst Workspace へのアクセス

    この新しいワークスペースにアクセスするには、次の場所に移動します。 セキュリティインシデント > インシデント (新規 UI).

    図 : 1. セキュリティインシデント
    [セキュリティインシデント] ナビゲーションバー

    ワークスペースが別のブラウザータブで開きます。

    図 : 2. セキュリティインシデント
    すべてのオープンセキュリティインシデント

    クイックフィルターを使用した分析対象セキュリティインシデントの検索

    Security Analyst Workspace にはセキュリティインシデントのリストをフィルタリングするためのツールがいくつか用意されているため、分析するセキュリティインシデントをすばやく見つけることができます。クイックフィルターを使用すると、フィルターの基準に基づいてセキュリティインシデントのサブセットを選択できます。
    図 : 3. クイックフィルター
    クイックフィルター

    使用するクイックフィルターをクリックするだけです。

    注:
    [編集] ボタンをクリックすると、リスト画面に表示するクイックフィルターを指定できます。フィルターは、少なくとも 1 つ選択する必要があり、最大で 6 つ選択できます。

    クラシック環境を使用すると、Security Analyst Workspace のプライマリフィルターに加えて、追加のクイックフィルターを定義できます。詳細については、「Security Analyst Workspaceのプライマリフィルターとセカンダリフィルターの設定」を参照してください。

    セキュリティインシデントリストのカスタマイズ

    インスタンス内のすべてのリストと同様に、Security Analyst Workspace には、リストをカスタマイズし、表示される情報を分析のニーズに合わせてソートするためのツールが用意されています。
    図 : 4. セキュリティインシデントリストのカスタマイズ
    セキュリティインシデントリストのフィルタリングオプション

    ピークビューによる時間の節約

    セキュリティインシデントレコードを開く前に、ピークビューを使用して時間を節約できます。この機能を使用すると、ページ全体を再ロードしなくても重要なセキュリティアーティファクトをすばやく見つけることができます。セキュリティインシデント番号の左側にある > アイコンをクリックするだけで、内容を確認できます。

    図 : 5. ピークビュー
    セキュリティインシデントのピークビュー
    ピークビューは、重要な情報のスナップショットを 1 つのビューで提供します。このビューにより、複数のインシデントを処理する際に貴重な時間を節約できます。特定のフィールドの下矢印をクリックして、アサイン先グループや特定のアナリストのアサインなど、オンザフライでの更新を行うことができます。
    図 : 6. ピークビューの詳細
    ピークビュー

    セキュリティインシデントに対するクイックアクションの実行

    特定のセキュリティインシデントを選択して開いた後、レコードに対して時間を節約するアクションを実行できます。
    • セキュリティインシデントが開いている場合は、[レコードを編集] アイコンをクリックして、任意のフィールドをすばやく変更します。レコードが閉じている場合は、そのタグのみを変更できます。
    • [添付ファイルを管理] をクリックして、セキュリティインシデントにファイルを添付します。添付ファイルをダウンロードまたは削除したり、添付ファイルに適用される暗号化を編集したりすることもできます。
    • [メールの作成] をクリックして、同僚にクイックメールを送信します。自由形式のメールを送信することも、テンプレートのリストから選択した定型文メールを送信することもできます。送信されたメールと受信された返信は、インシデントタイムラインにキャプチャされます。
      注:
      メールとメール通知用に再利用可能なコンテンツを含むカスタムテンプレートを作成できます。変数を使用して、件名、優先度、脅威カテゴリなど、セキュリティインシデントまたはアラートに固有の情報を挿入することができます。セキュリティインシデントレスポンス に関連するメールおよびメール通知には、セキュリティインシデント [sn_si_incident] テーブルを使用します。詳細については、「Email templates (メールテンプレート)」を参照してください。
    • [その他] をクリックすると、説明、ビジネスへの影響度、優先度などのセキュリティインシデントのクイックスナップショットが表示されます。また、[アサイン先グループ] フィールドと [アサイン先] フィールドの下向き矢印をクリックすると、これらのフィールドをオンザフライで変更することができます。
    図 : 7. アサイン先グループ
    クイックアクション

    複数のセキュリティインシデントの処理

    タブ付きインターフェイスでは、複数のセキュリティインシデントを同時に開いておくことができるため、ワンクリックでそれらを切り替えることができます。これにより、時間を節約し、複数のソースからの脅威が特定されたときに全体像を把握できます。
    図 : 8. 複数のセキュリティインシデントの処理
    セキュリティインシデントのタブ付きインターフェイス

    セキュリティインシデントタブでの分析情報の表示

    セキュリティインシデントレコードを開くと、次の 3 つのタブが表示されます。
    • 概要
    • 探索
    • インシデントタイムライン

    [概要] タブ

    [概要] タブを使用して、セキュリティインシデントの情報を 1 か所に表示します。別のアプリケーションやコンソールを開く必要はありません。
    図 : 9. 概要
    [概要] タブ
    [概要] タブに表示されるタイルはカスタマイズ可能です。これらは、必要に応じて折りたたんだり展開したりすることができます。また、グリップアイコンをドラッグして移動することもできます。その他のオプションアイコンをクリックすると、タイルを削除したり、その見出しテキストを変更したりできます。
    図 : 10. [概要] タブ
    [概要] タブの操作。

    [探索] タブ

    [概要] タブに表示されるタイルを、[探索] タブを使用して構成します。表示するタイルを左側のペインから選択し、固定アイコンをクリックします。固定されたタイルは自動的に [概要] タブに表示されます。
    図 : 11. [探索] タブ
    概要に固定
    [探索] タブの左側のペインには、[概要] タブに表示できるさまざまな情報が含まれています。たとえば、[観測事象] を展開すると、次の関連リストが表示されます。
    • 観測事象
    • 脅威のルックアップの結果
    • セキュリティスキャン結果
    • ドメインルックアップ
    • 観測事象の拡張

    [ユーザー][構成アイテム]、および [インシデント] に、追加の関連リストが用意されています。

    [インシデントタイムライン] タブ

    [インシデントタイムライン] タブは、追跡用に調査中に使用します。セキュリティインシデントに対して実行されたアクションは、そのつどシステムによってインシデントタイムラインに記録されます。
    • [作業メモを追加] ボックスに作業メモを入力して [投稿] をクリックすることで、作業メモを手動でタイムラインに追加することもできます。
    • 検索ボックスを使用して、特定のタイムラインアクティビティを検索できます。
    • アクティビティをフィルターアイコンを使用すると、目的のタイプのタイムラインアクティビティのみ (たとえば、特定のアナリストによって作成されたインシデントのみ) を表示できます。
    • 固定/固定解除アイコンを使用して、[概要] タブのインシデントタイムラインを追加または削除できます。
    図 : 12. [インシデントタイムライン] タブ
    インシデントタイムライン

    Playbook を使用したセキュリティインシデントの処理

    ビルトインのセキュリティアナリスト向け Playbook を使用して、特定のタイプのセキュリティ脅威を段階的な方法で解決します。たとえば、アナリストは、Playbook を使用して、悪意のあるコードアクティビティによって発生するフィッシング攻撃および脅威を解決できます。詳細については、「Playbook によるセキュリティの脅威の解決」を参照してください。