すべてのアラート · Customer Self-Service

ビュー:

アラートの範囲と重大度を調査して把握し、対応処理を決定します。

[すべてのアラート] 画面 (XDR Threat Investigation → Workbench) には、検出モデルによってトリガーされたすべてのスタンドアロンアラートが表示されます。

次の表は、 [アラートビュー] 画面で使用できる処理の概要を示しています。

処理

説明

アラートの調査

アラートの範囲と重大度を把握する対応処理をさらに決定する

新しいケースを開く

Workbenchアラートを見つけて [新しいケースを開く] をクリックし、アラートを処理する新しいケースを作成します。

重要

ケースを開くスタンドアロンアラートの場合は、 Workbenchのアラートメモ機能が無効になり、関連するすべてのWorkbenchメモがケースに転送されます。

ケースに直接追加できるのは、新しいメモのみです。

アラートの詳細の表示

アラートのIDをクリックして概要、ハイライト、および監視可能なグラフを表示するアラートの

アラートデータのフィルタ

検索ボックスとドロップダウンリストを使用して、アラートデータをフィルタします。

[ステータス]: [Workbench]でトリガーされたアラートまたは調査の現在のステータス
- [オープン]: アラートは新規であり、現在調査中ではありません。
- [処理中]: アラートは調査中です。
- [終了]: アラートの調査が完了しました。
[作成済み]: Trend Vision One がアラートを生成した時刻
[モデル名]: アラートをトリガーした検出モデル
[Model type]: アラートをトリガーした検出モデルがカスタムモデルかどうか。
[データソース/プロセッサ]: Workbenchにアラートデータを送信した製品
[検出]: アラート調査の結果。

使用可能な値:
- [真陽性]:調査により脅威や悪意のある活動の発生が確認されました。
- [誤検出]: 不正なアクティビティは見つかりませんでした。
- [無害の真陽性]: 調査の結果、組織にリスクを与えない真の脅威の存在が確認されました。
  
  良性の真陽性は、環境内での侵入テストまたはその他の正当なアクティビティの結果です。
- [注目すべき検出]: 通常と異なるアクティビティが検出され、さらなる調査が必要です。
- -: 調査結果はありません。
[所有者]: アラートに所有者が割り当てられているかどうか。
[ケースのステータス]: アラートを調査するためにCase Managementでケースをオープンしたかどうか。

ビューを変更する

[表示] メニューからオプションを選択します。

[すべて]: フィルタ条件に一致するすべてのアラートを表示します。
グループ化
- [モデル]: アラートを検出モデル名別にグループ化します。
- [エンドポイント]: エンドポイント名でアラートをグループ化します。
ヒント

右矢印 ( ) をクリックして、特定のモデルまたはエンドポイント名でグループ化されたアラートを展開します。

アラートステータスの変更

アラートまたは調査の進行状況を更新するには、1つ以上のアラートを選択し、 [ステータスを変更] をクリックします。

アラート結果の変更

1つ以上のアラートを選択し、 [検出結果を変更] をクリックしてケースの検出結果を更新します。

所有者を割り当て

1つ以上のアラートを選択し、 [所有者を割り当て] をクリックして、組織内のアカウントをアラートに割り当てる。

Workbenchのインサイト間でアラートを移動する

1つ以上のアラートを選択し、次のいずれかのオプションを選択します。

[Associate with insight]: アラートを指定したWorkbenchサイトに移動します。
[Remove from insight]: 現在のWorkbenchインサイトからアラートを削除します。

重要

Workbenchは移動したアラートを新たに受け取ったアラートとの相関を試行しなくなりました。
アラートは1つのWorkbenchサイトにのみ属することができます。

自動応答Playbookを参照

[自動応答Playbook] をクリックして、自動応答ハンドブックで使用できます。Security Playbooksアプリ