Trend Vision Oneアプリでケースを開き、Workflow and Automation[Case Management]で組織のケースを管理します。

[Case Management]は、セキュリティオペレーションセンター (SOC) チーム、情報技術 (IT) オペレーションチーム、またはリスクマネージャによって開かれた[Trend Vision One]ケースを表示します。Trend Vision Oneケースは、Trend Vision Oneアプリ内のインシデント、イベント、およびアラートに基づいています。Trend Vision Oneケースを開くことができるアプリには以下が含まれます:
  • Cyber Risk Exposure Management
  • Security Playbooks (Automated Response Playbookを使用)
  • Workbench
Case Managementは60日間アクティブでないTrend Vision Oneケースを自動的にクローズします
次の表はCase Managementで利用可能なオプションを示しています。
処理
説明
ケースデータのフィルタ
利用可能なメニューを使用して特定のケースを見つけてください。
  • [ステータス]: ケースの現在のステータス。
    利用可能なステータス:
    • 開く (case_Open=a774979f-2790-4cd1-8161-b5dc82579473.png )
    • 処理中 (case_InProgress=4a4e6461-7031-48c5-87b7-683b43ff9da4.png )
    • 終了 (case_Closed=ba556e15-9f9e-4e7a-9007-12f89a447dd4.png )
  • [検出]: ケースの調査結果 (Workbenchで作成されたケースのみ利用可能)。
    使用可能な値:
    • [真陽性]:調査により脅威や悪意のある活動の発生が確認されました。
    • [誤検出]: 不正なアクティビティは見つかりませんでした。
    • [無害な検出]: 調査により、組織にリスクをもたらさない実際の脅威の存在が確認されました。
      ベニントゥルーポジティブは、ペネトレーションテストやその他の正当な活動の結果です。
    • [注目すべき検出]: Trend Vision Oneが通常と異なるアクティビティを検出しました。さらに調査が必要です。
    • -: 調査結果はありません。
  • [優先度]: 所有者がケースに割り当てた優先度。
    使用可能な値:
    • [P0]
    • [P1]
    • [P2]
    • [P3]
  • [所有者]: ケースに割り当てられているTrend Vision Oneアカウント。
ケースのステータスの変更
1つ以上のケースを選択して [Change Status] をクリックし、ケースの進行状況を更新します。
Cyber Risk Exposure Managementで作成されたケースは、関連するすべてのリスクイベントが修正、承認、または却下されると、自動的に[クローズ]に変更されます。すべてのリスクイベントが解決されていない場合は、ケースを手動でクローズする際にリスクイベントのステータスを変更することができます。
ケースの検出結果の変更
1つ以上のケースを選択し、 [Change Findings] をクリックしてケースの検出結果を更新します。
ケースの優先度の変更
ケースの優先度を更新するには、ケースを1つ以上選択し、 [Change Priority] をクリックします。
ファイルをケースに添付
ケース名をクリックしてケースの詳細を開き、[Attach Files]をクリックします。
お客様の組織は、Case Managementのすべてのケースにおいて、最大1GBの添付ファイルをアップロードできます。
調査報告書の生成
重要
重要
これは「プレリリース」のサブ機能であり、正式なリリースとしては扱われません。この機能を使用する前に、プレリリース サブ機能に関する免責をご確認ください。
Trend Companionで生成AIを有効にした場合、ケース名をクリックし、Trend Companion[Generate investigation report]に進みます。Trend Companionはケースの脅威調査および修復レポートを生成し、Dashboards and ReportsReportsに進むことでプレビュー、編集、およびダウンロードができます。
このアクションは、[検出][True positive]のWorkbenchケースでのみ利用可能です。
ケースサマリーを作成
重要
重要
これは「プレリリース」のサブ機能であり、正式なリリースとしては扱われません。この機能を使用する前に、プレリリース サブ機能に関する免責をご確認ください。
Trend Companionで生成AIを有効にした場合、ケース名をクリックし、Trend Companion[Summarize case]に移動します。Trend Companionは、前回の要約された進捗ノートが作成されて以来、ケース内で作成されたすべてのノートを要約します。要約はアクティビティの下にエントリとして表示されます。要約された進捗ノートは、ケースを新しい所有者に引き継ぐ際に役立ちます。
所有者の割り当て
1 つ以上のケースを選択し、[所有者を割り当て] をクリックして、組織内のアカウントをケースに割り当てます。
所有者の割り当てには次の制限があります:
  • IdP専用SAMLグループユーザの場合:
    • Trend Vision Oneにサインインしてキャッシュされているユーザのみを割り当てることができます。
    • [User Accounts]はIdP専用SAMLグループのすべてのユーザを一覧表示できません。
  • [IdP-only SAML groups][IdP-only SAML group users] はメール通知を受け取ることができません。
影響を受けたアセットを変更
Cyber Risk Exposure Managementで作成されたケースでは、特定の影響を受けたアセットを選択し、アセットを別のケースに移動するか、ケースからアセットを削除することができます。アセットは同じリスクイベントに関わるケース間でのみ移動できます。
サブケースを開く
関連ケースは独立したサブケースで、複雑な調査を小さなサブケースに柔軟に分割できます。関連ケースには、メインケースに関する詳細情報が表示されます。
ケースを見つけ、options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.pngをクリックして[Open Related Case]を選択します。新しいケースは自動的にメインケースにリンクされます。
サブケースへのForensicsワークスペースの追加
Forensicsケースを選択し、[Create Forensics Workspace]をクリックしてください。
新しいForensicsワークスペースは、関連するケースに関連アイテムとして自動的に追加されます。Forensicsワークスペースには、Workbenchアラート/インサイトの影響範囲に含まれるすべてのエンドポイントが含まれます。
ケースをCSVファイルにエクスポート
ケースを選択し、エクスポートをクリックして、ケースのデータのレポートを作成します。Case Managementはデータをカンマ区切り値 (CSV) ファイルに保存します。レポートアプリでファイルを表示およびダウンロードすることもできます。
ServiceNowとの統合を有効にする
gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png[Integration Settings]をクリックして、ServiceNowとの統合を有効にします。
ServiceNowと統合することで、Case ManagementチケットをServiceNow ITSMに送信し、ServiceNowポータルで管理できます。自動対応Playbookから作成されたWorkbenchケースのみサポートされています。
追加通知を編集
Cyber Risk Exposure Managementで作成されたケースについては、通知を受け取るメールアドレスを指定するためにedit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.pngをクリックしてください。
関連情報