セキュリティインシデントリストからのセキュリティインシデントの作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • セキュリティインシデントを自動的に作成する方法の他に、必要に応じて手動で作成することもできます。

    このビデオでは、[セキュリティインシデント] リストからセキュリティインシデントを作成する方法をご覧いただきながら総括的に紹介します。

    始める前に

    必要なロール:sn_si.basic

    手順

    1. 任意のセキュリティインシデントリスト (例: すべて > セキュリティインシデント > インシデント > すべてのインシデントを表示) を開きます。
      [セキュリティインシデント] リスト
    2. [新規] をクリックします。
      新しいセキュリティインシデント
    3. フォームのフィールドに入力します。
      フィールド 説明
      セキュリティタグを選択 必要に応じて、[セキュリティタグ] を選択してレコードにメタデータを追加するか、このセキュリティインシデントレコードにアクセスする必要があるユーザーを識別できるようにします。このフィールドは、セキュリティインシデントが保存された後にのみ表示されます。
      数値 [読み取り専用] セキュリティインシデント番号
      要求者 実行すべき作業を要求しているユーザー
      構成アイテム セキュリティ問題の影響を受けるサーバー、コンピューター、ルーター、その他の構成アイテム
      影響を受けるユーザー セキュリティ上の問題によって影響を受けるユーザー。
      ロケーション 要求者またはリソースの場所[構成アイテム] が選択されていない場合、このフィールドには要求者の場所が事前に入力されます。
      カテゴリ セキュリティ問題のタイプを識別するカテゴリ。

      カテゴリが選択されている場合、この問題を分析するためのワークフローがレコードの保存時に実行されます。たとえば、[サービス拒否] を選択すると、[セキュリティインシデント - サービス拒否 - テンプレート (Security Incident - Denial of Service – Template)] ワークフローが実行されます。

      詳細については、「セキュリティインシデントレスポンスのワークフローテンプレート」を参照してください。
      サブカテゴリ 問題をさらに細かく定義するサブカテゴリ
      オープン [読み取り専用] インシデントが開かれた日時を表示します。
      状況 セキュリティインシデントの現在のステータス。セキュリティインシデント作成時のこのフィールドのデフォルトは [ドラフト] です。
      サブステート セキュリティインシデントに処理待ちの問題または変更が含まれているかどうかを識別します。
      ソース メール、電話、ネットワーク監視などのセキュリティインシデントのソースを識別します。
      アラートセンサー CarbonBlack、CrowdStrike、McAfee などのアラートまたはイベントデータを取り込むためのセキュリティ統合
      アラートルール このセキュリティインシデントの作成をトリガーしたセキュリティ製品のルール
      リスクスコア このセキュリティインシデントに対して計算されたリスクスコアを表示します。この値は、セキュリティインシデントの優先度、セキュリティインシデントのタイプ (サービス拒否、スピアフィッシング、または悪意のあるコードアクティビティ)、およびインジケーター上の否定的な評価スコアの要因となったソース数に基づいています。リスクスコアは、アナリストのセキュリティインシデント作業の優先順位付けに役立ちます。

      3 つのセキュリティインシデントプロパティを使用すると、より識別しやすいように、リストビューのリスクスコアの横に表示される色分けされたドットを指定できます。

      [ビジネスインパクト][優先度] などのセキュリティインシデントの特定のフィールドに変更を加え、レコードを保存すると、[リスクスコア] が自動的に再計算されて表示されます。変更は、作業メモと [リスクスコアの監査] 関連リストにも反映されます。
      注:
      影響を受けるユーザーがセキュリティインシデント、影響を受けるサービス、または脆弱性一致アイテムに関連付けられた場合も、リスクスコアは再計算されます。
      新しい [リスクスコア] を手動で入力することもできます。これは、特定のセキュリティインシデントを分析対象のセキュリティインシデントのリストの一番上に表示しておきたい場合に便利です。新しい [リスクスコア] を入力すると、[リスクスコアの上書き] チェックボックスが自動的にオンになります。セキュリティインシデントが変更されたかどうかに関係なく、手動で入力されたリスクスコアが自動的に再計算されることはありません。
      注:
      以前のリリースからインスタンスをアップグレードした場合、すべてのオープンセキュリティインシデントについてリスクスコアが計算されていました。詳細については、「セキュリティインシデント算出の理解」を参照してください。
      リスクスコアの上書き リスクスコアの自動更新を上書きするには、このチェックボックスをオンにします。上書きは作業メモに反映されます。
      ビジネスインパクト このセキュリティインシデントのビジネスに対する重要性を選択します。デフォルト値は [重大ではない] です。セキュリティインシデントレコードの保存後に、[優先度][リスク] フィールドの値を変更すると、[ビジネスインパクト] が再計算されます。
      優先度 緊急度に基づいて、このセキュリティインシデントに対処する順序を選択します。レコードの保存後にこの値を変更すると、[ビジネスインパクト] の計算に影響する可能性があります。
      アサイン先グループ このセキュリティインシデントがアサインされているグループ
      アサイン先 このセキュリティインシデントの分析がアサインされている個人。アサインは手動または自動で実行できます。詳細については、「セキュリティアナリストのアサイン」を参照してください。
      簡単な説明

      セキュリティインシデントの簡単な説明
      ナレッジ結果 簡単な説明を入力するに伴い、ナレッジベースの関連記事へのリンクが表示されます。

      情報をスキャンすると問題が解決する可能性があります。
    4. レコードヘッダーを右クリックして、[保存] を選択します。
      セキュリティインシデントに新しい CI を追加すると、次の統合ワークフローが自動的に実行されます。
    5. これらのワークフローによって取得された情報を表示するには、[拡張データを表示] 関連リンクをクリックし、表示されたタブのいずれかをクリックします。
      セキュリティインシデントの拡張
      注:
      追加のワークフローは、アクティブ化したサードパーティ統合に基づいて次のように実行されます - Security Operations Carbon Black 統合 - 実行中のプロセスを取得フロー