重大セキュリティインシデント管理 管理
重大セキュリティインシデント管理 の実装を計画し構成します。
重大セキュリティインシデント管理 の管理機能を、次の点から構成できます。
重大なセキュリティインシデントの提案、昇格、およびリンクの有効化
インシデントを重大なセキュリティインシデントとして提案または昇格することをユーザーが決定できるようにします。セキュリティインシデントを親または子インシデントにリンクできるようにすることで、重大なセキュリティインシデントに関連するすべてのインシデントを簡単に追跡できます。
始める前に
必要なロール:sn_msi.workspace_admin
手順
- 次のように移動する。 .
- [SIR/VR ワークスペースアクション (SIR/VR Workspace Actions)] セクションの [重大なセキュリティインシデントを提案] チェックボックスをオンにして、ユーザーがセキュリティインシデントを重大なセキュリティインシデントに提案できるようにします。
- [重大なセキュリティインシデントに昇格] チェックボックスをオンにして、ユーザーがセキュリティインシデントを重大なセキュリティインシデントに昇格できるようにします。
- [重大なセキュリティインシデントへのリンク] チェックボックスをオンにして、重大なセキュリティインシデントへのセキュリティインシデントのリンクを可能にし、まとめて追跡できるようにします。
- [更新] を選択します。
セキュリティインシデントを重大なセキュリティインシデントとしてタグ付けする
インシデントの提案または昇格時に、セキュリティインシデントまたは脆弱なレコードを重大なセキュリティインシデントとしてタグ付けまたはラベル付けします。セキュリティインシデントが提案されると、そのインシデントレコードは重大なセキュリティインシデント候補と呼ばれます。セキュリティインシデントが昇格されると、そのインシデントレコードは、ステータスが「承認済み」の重大なセキュリティインシデントと呼ばれます。
始める前に
必要なロール:sn_msi.workspace_admin
手順
- 次のように移動する。 .
- [ラベル名:候補として提案] ルックアップフィールドを選択することで、[ラベルの表示] チェックボックスを有効にして提案されたインシデント候補に重大なセキュリティインシデントのラベルを付けて、[SIR/VR ワークスペースラベル (SIR/VR Workspace Labels)] セクションで [重大なセキュリティインシデント候補] を選択します。
- [ラベル名 - 重大なセキュリティインシデントに昇格] ルックアップフィールドを選択することで、[ラベルの表示] チェックボックスを有効にして昇格されたインシデント候補に重大なセキュリティインシデントのラベルを付けて、[SIR/VR ワークスペースラベル (SIR/VR Workspace Labels)] セクションで [重大なセキュリティインシデント] を選択します。
- [更新] を選択します。
重大なセキュリティインシデントのラベルの設定
重大なセキュリティインシデント管理のラベルを設定して、カスタムラベルを作成し、アクティビティストリームの外部コラボレーションアクティビティとタスクをフィルタリングします。実装されているラベルのタイプは、ステータスラベルとタイムラインラベルです。
始める前に
必要なロール:sn_msi.workspace_admin
手順
- 次のように移動する。 .
- [ラベルの表示] チェック ボックスを有効にすると、[MSIM ワークスペースラベル (コラボレーションアクティビティおよびタスクの表示) (MSIM Workspace Labels (Display on Collaboration Activities and Tasks))] セクションで、分析、封じ込め、除去、復旧、レビュー、タイムラインイベントなどのさまざまなインシデント状況にラベルを付けることができます。
- [更新] を選択します。
重大なセキュリティインシデントのラベルの設定
より適切にフィルタリングを行ってインシデント状況を示すための、さまざまなタイプのラベルを設定します。重大なセキュリティインシデントのラベルを使用すると、インシデントレコードのコラボレーションアクティビティとタスクに柔軟性をもってラベルを付けることができます。
始める前に
必要なロール:sn_msi.workspace_admin
ラベルの選択および選択解除は、MSIM ワークスペースの [コラボレーション] および [タスクオーガナイザー] セクションの [アクティビティストリーム] セクションで使用可能なラベルアイコンを使用して行うことができます。
手順
重大なセキュリティインシデントのタイムラインカテゴリを設定する
[概要] タブの [タイムライン] セクションを使用して、脅威、対応、カスタムなどのタイムラインカテゴリを設定し、重大なセキュリティインシデントにアサインします。
始める前に
必要なロール:sn_msi.workspace_admin
手順
MSIM の通知設定
セキュリティインシデントが重大なセキュリティインシデント候補として提案または昇格されたときのメール通知プロセスを自動化してユーザーに通知します。
必要なロール:sn_msi.workspace_admin
通知は、セキュリティインシデントが提案されたときにのみトリガーされ、通知リストに設定されているすべてのユーザーとグループに送信されます。デフォルトでは、メール通知は、セキュリティインシデントを重大なセキュリティインシデント候補として提案したユーザーに送信されます。
受信者:
- デフォルトでは、 グループ名が作成され、このグループに追加されたすべてのユーザーに、 そのグループのユーザーは通知メールを受信します。
- に追加されている特定のユーザー リストにも通知メールが送信されます。
内容:
メールの本文などのメールコンテンツ (件名やメッセージ HTML を含む) を変更する場合は、システムアドミニストレーターロールアクセス権を持っているか、または MSI アドミニストレーターではなくシステムアドミニストレーターとしてアサインされている必要があります。
この通知は、セキュリティインシデントが昇格されたとき、およびファイルエクスプローラーと Microsoft Teams 基本構造が作成されたときにトリガーされます。デフォルトでは、この通知は、セキュリティインシデントを重大なセキュリティインシデントに昇格したユーザーに送信されます。
- デフォルトでは、 名前別 が作成され、このグループに追加されたすべてのユーザーに、 ロールとそのグループのすべてのユーザーに通知メールが送信されます。
- に追加されている特定のユーザー リストにも通知メールが送信されます。
メールの本文などのメールコンテンツ (件名やメッセージ HTML を含む) を変更する場合は、システムアドミニストレーターロールアクセス権を持っているか、または MSI アドミニストレーターではなくシステムアドミニストレーターとしてアサインされている必要があります。
MSI クローズのアクティビティの設定
重大なセキュリティインシデントがクローズされたときに自動的に発生するアクションを設定します。解決情報を含むフォルダーへのアクセスを自動的にアーカイブして削除することで、セキュリティを強化します。
始める前に
必要なロール:sn_msi.workspace_admin
手順
- 次のように移動する。 .
- [自動クローズアクション (Automated Closure Actions)] セクションの [コラボレーションチャネルのアーカイブ] チェックボックスをオンにして、インシデントの解決に関連するチャットのやり取りをアーカイブします。
- [コラボレーションフォルダーを削除 (Remove Collaboration Folders)] チェックボックスをオンにして、インシデントの解決に関連する資料を含むフォルダーを削除します。
- [更新] を選択します。