TDR インシデントを管理する

インシデント は、特定のホストにおけるアクティビティに関連するインジケータのグループです。ThreatSync 分析により、同じホストにおいて脅威スコアが高い複数のインジケータが報告された場合にインシデントが特定されます。インシデントには、 Host Sensor、Firebox、またはその両方で報告されたインジケータが含まれます。

ThreatSync > ホスト ページで、どのホストが最も重大度の高いインジケータを有しているかを確認することができ、これにより、各ホストのすべてのインジケータに迅速に対応することができます。インシデントでは、ホストのインジケータの集計ビューが表示されます。

ThreatSync > ホスト ページで、インシデントを展開して以下を実行することができます。

  • そのホストのすべてのインジケータを表示する。
  • どのインジケータがインシデント スコアに関連しているかを確認する( 別に特定する)。
  • 各インジケータが報告されたタイムラインを表示する。
  • インジケータの脅威を管理するアクションを実行する。

ThreatSync 分析では、独自のアルゴリズム セットを使用して、そのホストのインジケータ スコアに基づいて、各インシデントのスコアが決定されます。脅威が重大または高いスコアのインジケータのみがインシデント スコアに影響します。脅威スコアの低いインジケータは、インシデント スコアの計算には含まれません。各インジケータのインシデント リストの は、インジケータがインシデントの最終的な ThreatSync スコアに影響していることを示すものです。詳細については、TDR 脅威スコアについて を参照してください。

また、自動的にアクションを完了して脅威を管理するようにポリシーを構成することもできます。詳細については、TDR ポリシーを構成する を参照してください。

インシデントを表示する

既定では、ThreatSync > ホスト ページには脅威スコアが 6 以上のインシデントが表示されます。

現在のインシデントを表示するには、以下の手順を実行します。

  1. ThreatSync > ホスト の順に選択します。
    過去 24 時間以内に特定されたスコアで 6 以上のすべてのインシデントが表示されるようにフィルタが設定された状態で、ホスト ページが開きます。

Screen shot of the Hosts page

  1. 日付範囲を増やすには、直近の検出日 の列ヘッダーで をクリックし、日付範囲を選択してから、適用 をクリックします。

Screen shot of the date selection dialog box

  1. インジケータのインシデントが表示されるようにフィルタが適用された状態でホスト ページを開くには、インジケータの 手動アクション の列で アクションを選択する をクリックします。
    ホスト ページが新しいブラウザ タブで開きます。
  2. インシデントを展開してインジケータを表示するには、 をクリックします。
    インシデントが展開され、インジケータのリストが表示されます。リストは自動的にフィルタリングされ、インシデント スコアの要因となったインジケータのみが表示されます。

Screen shot of an expanded incident on the Hosts page

展開されているインジケータの ホスト リストで、インジケータ ページと同じアクションを完了することができます。

  • インジケータの詳細を表示するには、インジケータ 列で、追加情報 をクリックします。インジケータの詳細には、インジケータとスコアの理由の詳細が含まれています。
  • 修正アクションを行うには、手動アクション 列で、アクションを選択する をクリックします。要求されたアクションを実行すること、インジケータを外部修正済みとしてマーク付けすること、または許可リストに追加することができます。ファイルが以前に検疫されている場合は、アクションを選択し、ファイルを検疫から排除して許可リストに追加することができます。詳細については、検疫からファイルを削除する を参照してください。
  • Google、VirusTotal、または MetaScan でこのインジケータの MD5 値を検索するには、詳細調査 列で、いずれかのリンクをクリックします。
  • インシデントのタイムラインを表示するには、次のセクションの手順に従ってください。

インジケータのステータス、詳細、アクション、および調査の詳細については、次を参照してください:TDR インジケータを管理する

フィルタを管理する

各列の上部で、ページに表示される情報をフィルタリングすることができます。ページを開くたびにページが既定で指定されている情報になるように、フィルタ設定を保存することができます。

  1. 保存する列設定を選択します。
  2. 左端の列ヘッダーで、 をクリックします。
  3. 保存 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 適用 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. クリア を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 削除 を選択します。

インシデントのタイムラインを表示する

インシデントのインジケータを表示するには、以下の手順を実行します。

  1. インシデントのインジケータを表示するには、 をクリックします。
  2. タイムラインを表示する をクリックします。
    インシデントのインジケータ リストの上にタイムラインが表示されます。

Screen shot of an indicator timeline for an incident

タイムライン:

  • 左側のスケールはインジケータ脅威スコアです。
  • 各バブルのサイズは、その日の未解決インジケータの数を示すものです。
  • それぞれのバブルの色は、インシデントインジケータ ページのスコアの色と同じです。

タイムラインで詳細を表示するには、タイムラインの一部を拡大して、バブルをクリックする、またはバブルの上にマウス ポインターを移動します。

タイムラインの一部を拡大するには、以下の手順を実行します。

  1. クリックして、マウス ポインターをチャートのエリアにドラッグします。
    チャートのサイズが変更され、選択したエリアが表示されます。
  2. ズームをリセットする をクリックして、タイムライン全体が表示されるようにズームアウトします。

バブルの詳細を表示するには、以下の手順を実行します。

  1. バブルの上にマウス ポインターを移動します。
    バブルが青色に変わります。ツールチップに、日付、スコア、およびカウントが表示されます。カウントは、スコアが示されているインジケータの数です。
  2. バブルのインジケータ リストのみを表示するには、バブルをクリックします。
    または、ツールチップで カウント をクリックします。
    タイムラインの下にあるインジケータ リストは、選択されたバブルのスコアと日付でフィルタリングされています。

タイムラインを非表示にするには、タイムラインを非表示にする をクリックします。

関連情報:

TDR インジケータを管理する

検疫からファイルを削除する