セキュリティアナリストワークスペース を使用したセキュリティ上の脅威の管理

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:7分

    • セキュリティインシデントレスポンスにはセキュリティアナリストワークスペースと呼ばれる新しいユーザーインターフェイスが含まれています。このインターフェイスには、プレイブック、ピークビュー、複数のセキュリティインシデントを処理するためのタブなど、分析を支援する強力なツールを備えています。

    セキュリティアナリスト向けにビルドされた セキュリティアナリストワークスペース の強力なツールを使用して、セキュリティインシデントに関連付けられた、増え続けるデータを分析できます。また、自動化されたアクションにより、攻撃を阻止できるか侵害を受けるかの分かれ道となるセキュリティインシデントの調査時間が大幅に短縮されます。

    セキュリティアナリストワークスペース を使用する前に

    セキュリティアナリストワークスペース の使用を開始する前に、インスタンスに少なくとも London パッチ 3 がインストールされていること、正しいロールが定義されていること、および がセキュリティインシデントレスポンス UI アプリケーションをダウンロードしました ServiceNow Store.
    注:
    お使いのインスタンスで London パッチ 3 より前のバージョンを実行している場合は、HI Customer Service システムを介してセキュリティインシデントレスポンス UI プラグインを要求する必要があります。

    セキュリティアナリストワークスペース へのアクセス

    この新しいワークスペースにアクセスするには、次に移動します セキュリティインシデント > インシデント (新規 UI).

    ワークスペースが別のブラウザータブで開きます。

    クイックフィルターを使用した分析対象セキュリティインシデントの検索

    セキュリティアナリストワークスペース にはセキュリティインシデントのリストをフィルタリングするためのツールがいくつか用意されているため、分析するセキュリティインシデントをすばやく見つけることができます。クイックフィルターを使用すると、フィルターの基準に基づいてセキュリティインシデントのサブセットを選択できます。

    使用するクイックフィルターをクリックするだけです。

    注:
    [編集] ボタンをクリックすると、リスト画面に表示するクイックフィルターを指定できます。フィルターは、少なくとも 1 つ選択する必要があり、最大で 6 つ選択できます。

    クラシック環境を使用すると、セキュリティアナリストワークスペース のプライマリフィルターに加えて、追加のクイックフィルターを定義できます。詳細については、「セキュリティアナリストワークスペースのプライマリフィルターとセカンダリフィルターの設定」を参照してください。

    セキュリティインシデントリストのカスタマイズ

    インスタンス内のすべてのリストと同様に、セキュリティアナリストワークスペース には、リストをカスタマイズし、表示される情報を分析のニーズに合わせてソートするためのツールが用意されています。

    ピークビューによる時間の節約

    セキュリティインシデントレコードを開く前に、ピークビューを使用して時間を節約できます。この機能を使用すると、ページ全体を再ロードしなくても重要なセキュリティアーティファクトをすばやく見つけることができます。セキュリティインシデント番号の左側にある > アイコンをクリックするだけで、内容を確認できます。

    ピークビューは、重要な情報のスナップショットを 1 つのビューで提供します。このビューにより、複数のインシデントを処理する際に貴重な時間を節約できます。特定のフィールドの下矢印をクリックして、アサイン先グループや特定のアナリストのアサインなど、オンザフライでの更新を行うことができます。

    セキュリティインシデントに対するクイックアクションの実行

    特定のセキュリティインシデントを選択して開いた後、レコードに対して時間を節約するアクションを実行できます。
    • セキュリティインシデントが開いている場合は、[レコードを編集] アイコンをクリックして、任意のフィールドをすばやく変更します。レコードが閉じている場合は、そのタグのみを変更できます。
    • [添付ファイルを管理] をクリックして、セキュリティインシデントにファイルを添付します。添付ファイルをダウンロードまたは削除したり、添付ファイルに適用される暗号化を編集したりすることもできます。
    • [メールの作成] をクリックして、同僚にクイックメールを送信します。自由形式のメールを送信することも、テンプレートのリストから選択した定型文メールを送信することもできます。送信されたメールと受信された返信は、インシデントタイムラインにキャプチャされます。
      注:
      メールとメール通知用に再利用可能なコンテンツを含むカスタムテンプレートを作成できます。変数を使用して、件名、優先度、脅威カテゴリなど、セキュリティインシデントまたはアラートに固有の情報を挿入することができます。セキュリティインシデントレスポンス に関連するメールおよびメール通知には、セキュリティインシデント [sn_si_incident] テーブルを使用します。詳細については、「Email templates (メールテンプレート)」を参照してください。
    • [その他] をクリックすると、説明、ビジネスインパクト、優先度などのセキュリティインシデントのクイックスナップショットが表示されます。また、[アサイン先グループ] フィールドと [アサイン先] フィールドの下向き矢印をクリックすると、これらのフィールドをオンザフライで変更することができます。

    複数のセキュリティインシデントの処理

    タブ付きインターフェイスでは、複数のセキュリティインシデントを同時に開いておくことができるため、ワンクリックでそれらを切り替えることができます。これにより、時間を節約し、複数のソースからの脅威が特定されたときに全体像を把握できます。

    セキュリティインシデントタブでの分析情報の表示

    セキュリティインシデントレコードを開くと、次の 3 つのタブが表示されます。
    • 概要
    • 探索
    • インシデントタイムライン

    [概要] タブ

    [概要] タブを使用して、セキュリティインシデントの情報を 1 か所に表示します。別のアプリケーションやコンソールを開く必要はありません。

    [概要] タブに表示されるタイルはカスタマイズ可能です。これらは、必要に応じて折りたたんだり展開したりすることができます。また、グリップアイコンをドラッグして移動することもできます。その他のオプションアイコンをクリックすると、タイルを削除したり、その見出しテキストを変更したりできます。

    [探索] タブ

    [概要] タブに表示されるタイルを、[探索] タブを使用して構成します。表示するタイルを左側のペインから選択し、固定アイコンをクリックします。固定されたタイルは自動的に [概要] タブに表示されます。

    [探索] タブの左側のペインには、[概要] タブに表示できるさまざまな情報が含まれています。たとえば、[観測事象] を展開すると、次の関連リストが表示されます。
    • 観測事象
    • 脅威のルックアップの結果
    • セキュリティスキャン結果
    • ドメインルックアップ
    • 観測事象の拡張

    [ユーザー][構成アイテム]、および [インシデント] に、追加の関連リストが用意されています。

    [インシデントタイムライン] タブ

    [インシデントタイムライン] タブは、追跡用に調査中に使用します。セキュリティインシデントに対して実行されたアクションは、そのつどシステムによってインシデントタイムラインに記録されます。
    • [作業メモを追加] ボックスに作業メモを入力して [投稿] をクリックすることで、作業メモを手動でタイムラインに追加することもできます。
    • 検索ボックスを使用して、特定のタイムラインアクティビティを検索できます。
    • アクティビティをフィルターアイコンを使用すると、目的のタイプのタイムラインアクティビティのみ (たとえば、特定のアナリストによって作成されたインシデントのみ) を表示できます。
    • 固定/固定解除アイコンを使用して、[概要] タブのインシデントタイムラインを追加または削除できます。

    プレイブックを使用したセキュリティインシデントの処理

    ビルトインのセキュリティアナリスト向けプレイブックを使用して、特定のタイプのセキュリティ脅威を段階的な方法で解決します。たとえば、アナリストは、プレイブックを使用して、悪意のあるコードアクティビティによって発生するフィッシング攻撃および脅威を解決できます。詳細については、「プレイブックによるセキュリティの脅威の解決」を参照してください。