インシデントのステータスをアーカイブまたは変更する

インシデントは以下のいずれかのステータスとなります。

  • 新規 — インシデントの詳細ページでまだ確認されていない新しいインシデント。
  • 既読 — インシデントの詳細ページですでに確認されているインシデント、または手動で既読としてマーク付けされたインシデント。
  • アーカイブ済み - 自動化ポリシーによってアーカイブされたインシデント、または脅威がもはや懸念事項ではないとアナリストが判断したために手動でアーカイブされたインシデント。

インシデントのステータスは、インシデント ページまたはインシデントの詳細ページで変更することができます。たとえば、特定のインシデントへのアクションが完了した後、そのステータスをアーカイブ済みに変更して、インシデント リストを整理した状態に保つことができます。既定では、インシデント ページには、ステータスが新規および既読のインシデントのみが表示されます。

特定の条件を満たすインシデントが自動的にアーカイブされるように自動化ポリシーを構成することもできます。自動化ポリシーの詳細については、ThreatSync 自動化ポリシーについて を参照してください。

インシデントのステータスをアーカイブまたは変更するには、インシデント ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. 左側の列で、1 つまたは複数のインシデントのチェックボックスを選択します。
    ステータスの変更とアクションのメニューが表示されます。

Screen shot of the Change Status menu on the Incidents page

  1. ステータスを変更する ドロップダウン リストから、選択されているインシデントのステータスを選択します。
    インシデント リストが新しいステータスで更新されます。

インシデントのステータスをアーカイブするには、インシデントの詳細ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. インシデント リストにあるインシデントをクリックします。
    インシデントの詳細ページが開きます。
  3. インシデントをアーカイブするには、ページの右上にある アーカイブ をクリックします。

Screen shot of the Archive button in the Incident Details page

関連トピック

インシデントを修正するアクションを実行する

インシデントの詳細を確認する

ThreatSync インシデントを監視する

インシデント エラーをトラブルシューティングする