セキュリティケース管理 は、脅威ハンティングに取り組んでいるセキュリティアナリストが、環境における不審なアクティビティに関する情報をコレクションする手段を提供します。セキュリティインシデント、観測事象、CI、影響を受けるユーザーなどのケースに関連したレコードをケースに追加して、広範かつ具体的な分析に対応できます。

レコードや関連情報を簡単にピボットできるため、アナリストはターゲットキャンペーンや高度で継続的な脅威などに直面しているかどうかを評価できます。

セキュリティケースは、セキュリティケース管理、セキュリティインシデントレスポンス、脅威インテリジェンス など、インスタンスのさまざまなソースから作成できます。また、構成アイテム [cmdb.ci] テーブルおよびユーザー [sys.user] テーブルにある構成アイテムおよび影響を受けるユーザーから、それぞれケースを作成することもできます。ケースを作成した後、これらの各ソースを使用して、既存のケースに貴重な分析リソースを追加することもできます。

各セキュリティケースは、ヘッダーセクション、その他のケース詳細を含むセクション、および特定の脅威を識別して対処するための論拠をビルドするのに役立つレコードコレクションを含むケースアーティファクトセクションの 3 つの主要セクションで構成されています。

ケースヘッダー

ケースヘッダーは、セキュリティケースの識別と分類に使用される基本情報を提供します。ケース番号には、SECC プリフィックスが使用されます。

その他のケース詳細

[その他のケース詳細] セクションには、現在のステータス、ケースについて記録された作業メモやアクティビティなどを含む、ケースに対して既に実行済みの分析に固有の情報が表示されます。

ケースアーティファクト

[ケースアーティファクト] セクションには、セキュリティケースに含まれる情報の一連のタブがあります。

各タブのコンテンツ内で検索を実行できます。既に安全であると評価したレコードや、調査において重要ではないと判断したレコードを除外することもできます。除外されたレコードは削除されず、非表示になります。必要に応じて、除外されたレコードを表示して再び追加することができます。

各タブ内で、[その他の詳細] アイコンをクリックすると、選択したレコードの関連情報を表示できます。たとえば、[構成アイテム] タブをクリックして構成アイテムエクスプローラーを表示し、特定の CI の [その他の詳細] をクリックすると、その CI に関連付けられたインシデント、脆弱性一致アイテム、および注釈を表示できます。

レコードを選択し、ケースに関連するアーティファクトの [注釈] ボタンをクリックして、レコードに注釈を追加することもできます。注釈とは、各アナリストが特定のアーティファクトに付けることができるメモのことです。

その他、アナリストが各ケースを調査する際に使用できるツールには、次のようなものがあります。

• ケースで観測事象のサイティング検索を実行する
• セキュリティアーティファクトの検索