ビュー:

Trend Vision Oneアプリでオープンケースを確認し、[Case Management]で組織のケースを管理します。

[Trend Vision One]セクションの[Case Management] (Workflow and AutomationCase Management) には、組織のSOCチーム、IT運用チーム、またはリスクマネージャによって開かれたケースが表示されます。
Trend Vision Oneのアプリ内で、インシデント、イベント、およびアラートに基づいてTrend Vision Oneのケースを直接開くことができます。現在、Trend Vision Oneのケースを開くことをサポートしているアプリには以下が含まれます:
  • Security Playbooks (Automated Response Playbookを使用)
  • Attack Surface Risk Management
  • Workbench
重要
重要
Case Managementは60日間アクティブでないTrend Vision Oneのケースを自動的にクローズします。詳細はこちら。
次の表は、Workflow and AutomationCase Managementで利用可能なオプションを示しています。
処理
説明
ケースデータのフィルタ
利用可能なメニューを使用して特定のケースを見つけてください。
  • [ステータス]: ケースの現在のステータス。
    利用可能なステータス:
    • 開く (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png )
    • 処理中 (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png )
    • 終了 (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png )
  • [検出]: ケースの調査結果 (Workbenchで作成されたケースのみ利用可能)。
    使用可能な値:
    • [真陽性]:調査により脅威や悪意のある活動の発生が確認されました。
    • [誤検出]: 不正なアクティビティは見つかりませんでした。
    • [無害な検出]: 調査により、組織にリスクをもたらさない実際の脅威の存在が確認されました。
      ベニントゥルーポジティブは、ペネトレーションテストやその他の正当な活動の結果です。
    • [注目すべき検出]: Trend Vision Oneが通常と異なるアクティビティを検出しました。さらに調査が必要です。
    • -: 調査結果はありません。
  • [優先度]: 所有者がケースに割り当てた優先度。
    使用可能な値:
    • [P0]
    • [P1]
    • [P2]
    • [P3]
  • [所有者]: ケースに割り当てられているTrend Vision Oneアカウント。
ケースのステータスの変更
1つ以上のケースを選択して [Change Status] をクリックし、ケースの進行状況を更新します。
Attack Surface Risk Managementで作成されたケースは、関連するすべてのリスクイベントが修正、承認、または却下されると、自動的に[クローズ]に変更されます。すべてのリスクイベントが解決されていない場合は、ケースを手動でクローズする際にリスクイベントのステータスを変更することができます。
ケースの検出結果の変更
1つ以上のケースを選択し、 [Change Findings] をクリックしてケースの検出結果を更新します。
ケースの優先度の変更
ケースの優先度を更新するには、ケースを1つ以上選択し、 [Change Priority] をクリックします。
ファイルをケースに添付
ケース名をクリックしてケースの詳細を開き、[Attach Files]をクリックします。
お客様の組織は、Case Managementのすべてのケースにおいて、最大1GBの添付ファイルをアップロードできます。
調査報告書の生成
重要
重要
これは「プレリリース」のサブ機能であり、正式なリリースとしては扱われません。この機能を使用する前に、プレリリース サブ機能に関する免責をご確認ください。
Trend Companionで生成AIを有効にした場合、ケース名をクリックし、[Trend Companion][Generate investigation report]に進んでください。
Trend Companionはケースの脅威調査および修復レポートを生成します。これをプレビュー、編集、およびダウンロードするには、Dashboards and ReportsReportsに移動してください。
このアクションは、真陽性の検出結果があるWorkbenchケースでのみ利用可能です。
ケースサマリーを作成
重要
重要
これは「プレリリース」のサブ機能であり、正式なリリースとしては扱われません。この機能を使用する前に、プレリリース サブ機能に関する免責をご確認ください。
Trend Companionで生成AIを有効にした場合、ケース名をクリックし、[Trend Companion][Summarize case]に進んでください。
Trend Companionは、前回の要約進捗メモが作成されてからケース内で作成されたすべてのメモを要約します。要約進捗メモは、ケースを新しい担当者に引き継ぐ際に役立ちます。
所有者の割り当て
1つ以上のアラートを選択し、 [Assign Owners] をクリックして、組織内のアカウントをケースに割り当てます。
重要
重要
所有者の割り当てには次の制限があります:
  • IdP専用SAMLグループユーザの場合:
    • Trend Vision Oneにサインインしてキャッシュされているユーザのみを割り当てることができます。
    • [User Accounts]はIdP専用SAMLグループのすべてのユーザを一覧表示できません。
  • [IdP-only SAML groups][IdP-only SAML group users] はメール通知を受け取ることができません。
影響を受けたアセットを変更
Attack Surface Risk Managementで作成されたケースについては、特定の影響を受けたアセットを選択し、アセットを別のケースに移動するか、ケースからアセットを削除することができます。アセットは同じリスクイベントに関わるケース間でのみ移動できます。
サブケースを開く
関連ケースは独立したサブケースで、複雑な調査を小さなサブケースに柔軟に分割できます。関連ケースには、メインケースに関する詳細情報が表示されます。
ケースを見つけて、オプションアイコン (options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png ) 行の末尾にあるをクリックして、 [Open Related Case]をクリックします。新しいケースは自動的にメインケースにリンクされます。
サブケースへのForensicsワークスペースの追加
Forensicsケースを見つけて、 [Create Forensics Workspace]をクリックします。
新しいForensicsワークスペースが、関連するケースに関連アイテムとして自動的に追加されます。 Workbenchアラート/インサイトの影響範囲に含まれるすべてのエンドポイントがワークスペースに追加されます。
ServiceNowとの統合を有効にする
設定アイコン (gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png ) をクリックして、 ServiceNowとの統合
ServiceNowと統合して、Case ManagementチケットをServiceNow ITSMに送信し、ServiceNowポータルで管理します。対応Playbookから作成されたWorkbenchケースのみがサポートされます。
追加通知を編集
Attack Surface Risk Managementで作成されたケースについては、追加通知情報の[編集]をクリックして、ケースに関する通知を送信する際に使用するWebhookまたはメールアドレスを指定します。Webhookは通知で設定します。
ケースを開くときに利用できるアクションについては、こちらをご覧ください
関連情報