Data Loss Prevention Incident Response アナリストワークスペース

ワシントンDCのセキュリティ管理

Release

washingtondc

ft:locale

ja-JP

ft:publication_title

ワシントンDCのセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

Data Loss Prevention Incident Response アナリストワークスペース

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む13読むのに数分

Data Loss Prevention Incident Response (DLP IR) アナリストワークスペースを使用して、DLP インシデントを確認します。インシデントを解決などの目的でエンドユーザーにアサインします。

DLP ワークスペースは、DLP インシデントを監視できるダッシュボード、リストビュー、およびフォームビューで構成されています。

DLP インシデントのレビューとアサイン

Data Loss Prevention Incident Response (DLP IR) アナリストワークスペースにアクセスすると、DLP インシデントを確認して、インシデントをアサインしたり解決したりすることができます。重大度別のインシデント、上位違反者、スキャンソース別のインシデント、ポリシー別のインシデントの傾向を追跡できます。

始める前に

必要なロール：

sn_dlir.analyst - DLP インシデントの編集および表示。
sn_dlir.analyst_read および sn_dlir.read - DLP インシデントの表示。

手順

移動先すべて > DLP インシデント管理 > DLP アナリストワークスペース.
DLP ワークスペースの [自分のインシデント] 操作リストページが新しいタブで開きます。
DLP ワークスペースのホームアイコンをクリックすると、ワークスペースのホームページビューが表示されます。
ダッシュボードウィジェットを確認して、重大度別のインシデント、上位違反者、スキャンソース別のインシデント、ポリシー別のインシデントの傾向を識別します。

ホームページで適切なフィルターをクリックして、各種カテゴリごとにウィジェットを確認します。


フィルター	説明
オープンインシデント	すべてのオープンインシデントを表示します。
期限切れの最重要のインシデント (Overdue critical incidents)	重大度ラベルが「重大」で期限切れのインシデントを表示します。
エンドユーザーにアサインされたインシデント	エンドユーザーにアサインされたすべてのインシデントを表示します。

DLP インシデントは、次の 2 つの方法で確認およびアサインできます。

1 つ目は、確認する 1 つ以上の DLP インシデントを見つけて選択し、そのインシデントの横にあるチェックボックスをクリックする方法です。

自分に適したオプションを選択します。


オプション	説明
リストを更新	更新を行った場合に DLP インシデントのリストを更新するオプション。
リストアクション	実行できるアクションのリスト。選択肢は次のとおりです。名前を付けて保存列を編集幅をリセット注: [自分のリスト] セクションで作成された独自のカスタムリストを、各自のワークスペースに合わせて構成している場合は、以下の追加のリストアクションも実行できます。名前の変更保存削除
すべての URL をコピー (Copy URL for All)	すべての DLP インシデントの URL をコピーするオプション。
フィルターパネルを表示	フィルターオプションを使用して必要なインシデントをドリルダウンするオプション。ページの左上にあるフィルターをクリックし、[詳細ビュー] を選択します。既存のフィルターを使用するか、フィールド、演算子、および値を含む条件を追加してフィルターを作成します。さらに条件を追加するには、[AND] または [OR] をクリックします。 [AND] を選択した場合は、すべての条件に一致する必要があります。 [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。 [更新] をクリックします。
インシデントをアサイン	DLP インシデントのアサイン先を決定するアクション。選択肢は次のとおりです。インシデントのアサイン先：インシデントをアナリスト、エンドユーザー、または他のユーザーにアサインするオプション。ユーザー：インシデントのアサイン先のユーザーを決定するオプション。ユーザー応答前のインシデントステータス：ユーザーの応答前にインシデントがどのステータスであるべきかを決定するオプション。カスタムステータスに設定することもできます。アセスメントの添付：インシデントにアセスメントを添付するかどうかを指定するオプション。有効にすると、以下のオプションが利用可能になります。アセスメントテンプレート：DLP インシデントのアセスメントテンプレートを選択するオプション。ユーザー応答後のインシデントステータス：ユーザーの応答後の DLP インシデントのステータスを選択するオプション。
応答	インシデント応答オプションを選択して、インシデントに対応します。たとえば、ユーザーが DLP ポリシーに違反しているファイルを削除した場合、ユーザーは [削除されたファイル] オプションを選択して、ファイルが削除されたことを手動で確認し、コメントを入力できます。ここから、詳細な応答オプションを選択することもできます。たとえば [隔離からのメールのリリースを要求する (Request email release from quarantine)] などです。
エスカレート	インシデントをエスカレーションするアクション。インシデントをエスカレーションするには、エスカレーション先のユーザーを選択します。[コメント] フィールドに追加情報を入力することもできます。
ステータスの更新	インシデントのステータスを更新するアクション。ドロップダウンオプションからいずれかのステータスを選択することで、インシデントのステータスを更新できます。カスタムステータスに設定することもできます。
クローズ	インシデントをクローズするアクション。インシデントをクローズする前に、コメントを追加することもできます。

2 つ目の方法は、特定の DLP インシデントをクリックして開く方法です。
- [詳細] タブ：次のセクションが表示されます。
  - 詳細：インシデント番号、重大度、ファイル名など、DLP インシデントの詳細を確認できます。また、[重大度]、[ステータス]、[エンドユーザー]、および [DLP アナリストグループ (DLP Analyst group)] の各フィールドを変更して保存することもできます。
  - 作成：全員に表示される DLP インシデントに関するコメントを追加するには、[コメント] タブにコメントを入力します。特定のユーザーに表示されるコメントを追加するには、 [作業メモ (プライベート)] タブにコメントを入力します。
  - アクティビティ：DLP インシデントでのさまざまなアクティビティの詳細を確認できます。
  - 添付ファイル：DLP インシデントに関連する添付ファイルがある場合は、[参照] をクリックしてローカルドライブから添付ファイルを選択します。
- [その他の詳細] タブ：DLP インシデントに関する、カスタムフィールドを含めたその他すべての情報が表示されます。
  重要:
  DLP インシデントのカスタムフィールドは、San Diego バージョン以降でのみサポートされています。
  
  [その他の詳細] タブを使用して、特定の DLP インシデントに対してカスタムフィールドが作成されているかどうかを確認できます。
- [カスタム属性] タブ：DLP インシデントに関連するカスタム属性のリストが表示されます。
- エンドユーザーからのその他のインシデント (Other incidents from end user)：同じエンドユーザーからのインシデントを表示します。この関連リストから [子インシデントとして追加 (Add as child incident)] アクションを実行することで、インシデントを統合できます。
- 検出された機密情報タイプ (Detected Sensitive Information Type)：インシデントで検出された機密情報を表示します。
  注:
  この関連リストは、Microsoft または Symantec の統合で作成された DLP インシデントの場合にのみ表示されます。Microsoft または Symantec のインシデントレコード内で、検出された機密情報タイプのレコードにユーザーがアクセスするたびに、その統合に関連して強調表示された一致コンテンツが表示されます。
- 子インシデント：( [子インシデントとして追加 (Add as child incident)] アクションを実行して) 手動で作成された子インシデントまたは DLP 統合ルールから作成された子インシデントを表示します。この関連リストから [子インシデントのリンクを解除 (Unlink child incident)] を実行することで、子インシデントのリンクを解除できます。
- クローンされたインシデント (Cloned incidents)：親インシデントからクローンされたインシデントを表示します。フォームビューの [インシデントをクローン (Clone incident)] アクションをクリックすると、新しいクローンインシデントを作成できます。
- [アセスメント] タブ：DLP インシデントにアサインされているアセスメントのリストを表示します。

自分に適したオプションを選択します。


オプション	説明
インシデントをアサイン	DLP インシデントのアサイン先を決定するアクション。選択肢は次のとおりです。インシデントのアサイン先：インシデントをアナリスト、エンドユーザー、または他のユーザーにアサインするオプション。ユーザー：インシデントのアサイン先のユーザーを選択するオプション。ユーザー応答前のインシデントステータス：ユーザーの応答前にインシデントがどのステータスであるべきかを選択するオプション。カスタムステータスに設定することもできます。アセスメントの添付：インシデントにアセスメントを添付するかどうかを指定するオプション。有効にすると、以下のオプションが利用可能になります。アセスメントテンプレート：DLP インシデントのアセスメントテンプレートを選択するオプション。ユーザー応答後のインシデントステータス：ユーザーの応答後に DLP インシデントがどのステータスであるべきかを選択するオプション。
承認をキャンセル	承認要求をキャンセルするアクション。このアクションは、DLP インシデントのステータスが [承認待ち (Pending Approval)] である場合にのみ、フォームビューでアナリストに対して表示されます。使用可能なオプションは、次のとおりです。インシデントのアサイン先：インシデントのアサイン先として、[該当者なし]、[アナリスト]、または [他の人] を設定するオプション。ユーザー：インシデントのアサイン先のユーザーを選択するオプション。キャンセル後のインシデントのステータス (Post cancellation incident state)：要求をキャンセルした後のインシデントのステータスを選択するオプション。コメント：キャンセルに関する追加の詳細を入力します。
アセスメントをアサイン	インシデントのアサイン時にアセスメントを添付するアクション。選択肢は次のとおりです。アセスメントテンプレート：DLP インシデントのアセスメントテンプレートを選択するオプション。ユーザー応答後のインシデントステータス：ユーザーの応答後に DLP インシデントがどのステータスであるべきかを選択するオプション。
ファイルのダウンロード	違反コンテンツを含むファイルまたはメールをダウンロードするアクション。このアクションは、Microsoft OneDrive、SharePoint Online、または Exchange Online について作成されたインシデントに対して実行できます。
保存	行った変更を保存するアクション。DLP インシデントの [重大度]、[ステータス]、および [エンドユーザー] フィールドを変更して保存することができます。
応答	インシデント応答オプションを選択して、インシデントに対応します。たとえば、ユーザーが DLP ポリシーに違反しているファイルを削除した場合、ユーザーは [削除されたファイル] オプションを選択して、ファイルが削除されたことを手動で確認し、コメントを入力できます。ここから、詳細な応答オプションを選択することもできます。例：[隔離からのメールのリリースを要求する (Request email release from quarantine)]
エスカレート	インシデントをエスカレーションするアクション。インシデントをエスカレーションするには、エスカレーション先のユーザーを選択します。[コメント] フィールドに追加情報を入力することもできます。
インシデントをクローン (Clone Incident)	インシデントレコードが複数のユーザーに影響する場合にクローンインシデントを作成するアクション。クローンされたインシデントは、法務/IT などの複数のステークホルダーにアサインできます。クローンインシデントレコードを作成すると、親 DLP インシデントの下に新しい [クローンされたインシデント (Cloned incidents)] タブが作成され、すべてのクローンインシデントがこのビューに一覧表示されます。注: 親 DLP インシデントレコードがクローズされると、すべてのクローンインシデントレコードが自動的にクローズされます。 DLP インシデントレコードにクローンインシデントが含まれている場合、そのレコードをエンドユーザーにアサインすることはできません。親 DLP インシデントレコードは、アナリストのロールを持つユーザーのみが管理できます。 [デフォルト構成] モジュールでのクローンインシデントのステータスに基づいて親ステータスを自動的に更新するオプションもあります。たとえば、すべてのクローンインシデントが [エスカレート済み] ステータスに移行すると、親インシデントも [エスカレート済み] ステータスに移行します。
クローズ	インシデントをクローズするアクション。インシデントをクローズする前に、コメントを追加することもできます。
誤検出としてクローズ	インシデントを誤検出としてクローズするアクション。インシデントをクローズする前に、コメントを追加することもできます。

DLP アナリストワークスペースの詳細ビュー — 図 : 2. DLP アナリストワークスペース

ホームページからリストビューを表示するには、ページの左上にある [リスト] タブをクリックします。
[リスト] カテゴリは、DLP インシデントのデフォルトのリストページとカスタマイズされたリストページで構成されています。
- [リスト] タブ：DLP インシデントのデフォルトのリスト。デフォルトのリストは次のとおりです。
  - すべて
  - オープン
  - 自分のインシデント
  - 自分のグループにアサイン済み
  - エスカレート済み
  - 期限切れ
  - 処理待ちのアセスメント
  - 処理待ちのユーザーアクション
  - クローンされたインシデント
  - アーカイブされたインシデント
- [自分のリスト] タブ：自分が名前を変更したリストと作成したリストが表示されます。
次の例は、リストビューカテゴリを含む DLP ワークスペースを示しています。[すべて] リストビューオプションが選択されています。
図 : 3. DLP アナリストワークスペースのリストビュー

アーカイブされた DLP インシデントの表示

DLP アナリストワークスペースを使用してアーカイブされた DLP インシデントを表示する

始める前に

必要なロール：

sn_dlir.analyst - DLP インシデントの編集および表示。
sn_dlir.analyst_read および sn_dlir.read - DLP インシデントの表示。

手順

移動先すべて > DLP インシデント管理 > DLP アナリストワークスペース.
デフォルトでは、[自分のインシデント] セクションが表示されます。
[ アーカイブされたインシデント] をクリックします。
アーカイブされた DLP インシデントのリストが表示されます。
[ インシデント数を表示] ボタンをクリックして、アーカイブされたインシデント数を表示します。
注:
- デフォルトでは、リストのロード時間を短縮するためにアーカイブされたインシデント数は非表示になっています。インシデント数を表示するには、[ Show Incident Count ] ボタンをクリックする必要があります。また、インシデント数を示す情報メッセージが表示されます。
- アーカイブされたインシデントのベースシステムでシステムプロパティ glide.ui.list.seismic.omit.count が有効になり、インシデントリスト数が非表示になります。
表示する 1 つ以上の DLP インシデントを選択します。
DLP インシデントに [インシデントの詳細] セクションが表示されます。
注:
- [ エンドユーザーからのその他のインシデント ] タブには、アーカイブされたインシデントも含まれます。
- コンテンツの一致はアーカイブされたすべてのインシデントでサポートされますが (すべての統合でもサポートされます)、ファイルのダウンロードは Microsoft 統合でのみサポートされます。