インシデントとは、悪質であることが確認されたアクティビティを指します。インシデントには、IoC (侵害のインジケーター) といった単純なものもあれば、悪質な意図を判断することを目的として動作が順番に一覧される IOA (Indicators of attack) のような複雑なものもあります。
インシデント ページには、インシデントの一元化リストが表示されます。インシデント担当者は、これを確認して、アクションを実行することができます。ページに一覧されるすべてのインシデントは実行可能です。
ThreatSync インシデントリストを開くには、以下の手順を実行します。
- 監視 > 脅威 > インシデント の順に選択します。
インシデント ページが開きます。
- ページで特定のインシデントを表示するには、以下の手順を実行します。
- 特定のインシデントの詳細情報を表示するには、インシデント ページで、インシデントをクリックします。ヒント!詳細については、インシデントの詳細を確認する を参照してください。
インシデント ページで、直接アクションを実行することができます。詳細については、インシデントを修正するアクションを実行する を参照してください。
日付範囲を変更する
既定では、インシデント リストには、現時点の日付に発生したインシデントが表示されます。日付範囲を変更して、さまざまな日付のインシデントを表示できます。
日付範囲でインシデント リストをフィルタリングするには、以下の手順を実行します。
- ページの上部にあるカレンダー アイコン
をクリックします。 - ドロップダウン リストから、以下の期間のいずれかを選択します。
- 今日
- 昨日
- 過去 24 時間
- 過去 7 日間
- 過去 14 日間
- 今月
- 先月
- カスタム
- カスタム を選択した場合は、カスタム期間の開始日と終了日を指定します。保存 をクリックします。
インシデント リストをソートおよびフィルタリングする
既定では、インシデント リストには、新規および既読のステータスのインシデントがリスク レベルの降順で表示されるため、リストの先頭に最も重大な脅威が表示されます。
表示するインシデントをカスタマイズするには、インシデントの種類、アクション、リスク、またはステータスでインシデント リストをフィルタリングします。リスク レベルまたは日付でリストをソートすることもできます。
インシデント リストをソートするには、以下の手順を実行します。
- ページの右上にあるソート アイコン
をクリックします。
ドロップダウン リストが開きます。
- 昇順または降順、日付またはリスク レベルのいずれでインシデントをソートするかを選択します。
インシデント リストをフィルタリングするには、以下の手順を実行します。
- ページの右上にあるフィルタ アイコン
をクリックします。
フィルタ ダイアログ ボックスが開きます。
インシデントの種類
インシデントの種類でインシデント リストをフィルタリングするには、以下のオプションを 1 つまたは複数選択します。
- 高度なセキュリティ ポリシー - 高度な感染手法が使用されている悪質なスクリプトや不明のプログラムの実行。
- エクスプロイト — 悪質なコードを挿入して脆弱なプロセスの悪用を試みる攻撃。
- 侵入試行 — 侵入者がシステムへの不正アクセスを試みるセキュリティ イベント。
- IOA — IOA (Indicators of Attack) は攻撃である可能性が高いインジケータ。
- 悪質な URL — ランサムウェアなど、マルウェアの配布を目的として作成された URL。
- 悪質な IP - 悪質なアクティビティに関連付けられる IP アドレス。
- マルウェア - コンピュータ システムを損傷または中断させること、あるいはコンピュータ システムに不正アクセスすることを目的とした悪質なソフトウェア。
- PUP — コンピュータへのソフトウェアのインストールに伴いインストールされる可能性のある不審なプログラム (PUP)。
- ウイルス — コンピュータ システムに侵入する悪質なコード。
- 不明なプログラム — WatchGuard Endpoint Security でまだ分類されていないためにブロックされたプログラム。
アクション
インシデントに対して実行されたアクションでインシデント リストをフィルタリングするには、以下のチェックボックスを 1 つまたは複数選択します。
- 接続のブロック — 接続がブロックされました。
- プロセスのブロック — Endpoint デバイスにより、プロセスがブロックされました。
- デバイスの隔離 — デバイスとの通信がブロックされました。
- ファイルの削除 — ファイルがマルウェアとして分類され、削除されました。
- IP のブロック — この IP アドレスとの間のネットワーク接続がブロックされました。
- プロセスが強制終了されました — Endpoint デバイスによって、プロセスが終了されました。
アクション ステータスでインシデント リストをフィルタリングするには、以下のチェックボックスを 1 つまたは複数選択します。
- 実行済み — 要求されたアクションが完了しています。
- 実行中 — 要求されたアクションが進行中です。
- 未実行 — 要求されたアクションがまだ実行されていません。
- エラー — 要求されたアクションが完了せず、エラーが返されました。詳細については、インシデント エラーをトラブルシューティングする を参照してください。
リスク
リスク レベルでインシデント リストをフィルタリングするには、以下のオプションを 1 つまたは複数選択します。
- 10 — 重大
- 9 - 重大
- 8 - 高
- 7 - 高
- 6 - 中
- 5 - 中
- 4 - 中
- 3 - 低
- 2 - 低
- 1 - 低
詳細については、ThreatSync インシデントのリスク レベルとスコア を参照してください。
ステータス
既定では、インシデント リストには、ステータスが新規および既読のインシデントが表示されます。ステータスでインシデント リストをフィルタリングするには、以下のオプションを 1 つまたは複数選択します。
- 新規 — インシデントの詳細ページでまだ確認されていない新しいインシデント。
- 既読 — インシデントの詳細ページですでに確認されているインシデント、または手動で既読としてマーク付けされたインシデント。
- アーカイブ済み - 自動化ポリシーによってアーカイブされたインシデント、または脅威がもはや懸念事項ではないとアナリストが判断したために手動でアーカイブされたインシデント。
インシデントのステータスをアーカイブまたは変更する方法については、インシデントのステータスをアーカイブまたは変更する を参照してください。
インシデント チャートを表示する
インシデント ページの チャートを表示する ドロップダウン リストから 4 種類のチャートを選択することができます。各チャートには、指定されている日付範囲のデータが含まれています。
- インシデントのリスク — 低、中、高、重大のリスク レベルのインシデントが円グラフで示されます。
- インシデントのステータス - 新規、既読、アーカイブされたインシデントが円グラフで示されます。
- 実行済みアクション — インシデントに対して実行されたアクションがグラフで示されます。
- インシデントのタイムライン — インシデントのタイムラインが棒グラフまたは折れ線グラフのいずれかで示されます。チャートのデータの上にマウスを移動すると、インシデントの日時が表示されます。
インシデント リスト レポートをダウンロードする
インシデント ページで、インシデント リスト レポートを CSV または PDF の形式でダウンロードすることができます。レポートには、ソートおよびフィルタ オプションに応じて、指定された期間のインシデント データが表示されます。
PDF レポートに含まれる記録は最大 200 件で、レポートのインシデント リスにおける先頭から 200 件の記録が示されます。CSV レポートに含まれる記録は最大 3,000 件で、レポートのインシデント リストの先頭から 3,000 件の記録が示されます。
チャートを表示する ドロップダウン リストから表示するチャートを選択すると、選択したチャートに PDF インシデント リスト レポートも表示されます。チャートで PDF レポートを表示する必要がない場合は、チャートを表示する ドロップダウン リストから なし を選択します。
インシデント リスト レポートをダウンロードするには、
をクリックして、CSV レポートをダウンロードする または PDF レポートをダウンロードする を選択します。
PDF レポートには、選択した通りにインシデントの種類、アクション、リスク、ステータスのいずれかでフィリタリングされた状態で、選択した日付範囲のインシデントに関する詳細が表示されます。
脅威の概要レポートのダウンロード方法については、ThreatSync インシデントの概要 を参照してください。
ThreatSync レポートをスケジュールする方法については、WatchGuard Cloud で ThreatSync レポートをスケジュールする を参照してください。