インシデントの詳細を分析する

インシデントのレビューステージでは、エンドポイント検知と応答（EDR）のインシデントリストから各インシデントの詳細を分析することも可能です。これらの詳細により、インシデント全体を掘り下げ、発生した時間や状況を把握できます。さらに、インシデントを特定のユーザーに割り当てて調査を依頼したり、調査ステータスを設定したりすることもできます。

インシデントの詳細を分析するには

1. Cyber Protectコンソールで、[保護] > [インシデント] に進みます。インシデントのリストが表示されます。
2. 確認したいインシデントをクリックします。選択したインシデントの詳細が表示されます。

3. 表示された [概要] タブで、現在の脅威のステータスや重大度など、インシデントとワークロードの詳細を確認できます。また、調査ステータス（調査中、未開始（デフォルト）、偽陽性、閉鎖済みのいずれかを選択）、およびインシデントを割り当てるユーザー（[割り当て先] ドロップダウンリストで、関連ユーザーを選択）を定義することもできます。

   

4. [攻撃情報] タブをクリックして、攻撃の詳細と攻撃に使用された技術を確認します。各攻撃方法の横にあるリンクをクリックすると、MITRE.orgでその技術に関する詳細情報を確認できます。
5. [アクティビティ] タブをクリックして、インシデントを軽減するためサイバーキルチェーンで実行された操作を確認します。詳細については、サイバーキルチェーンでインシデントを調査する方法を参照してください。

   例えば、ワークロードにパッチが適用された場合、どのユーザーがパッチを起動し、どれくらいの時間がかかったか、パッチの実装中に発生したエラーは何かなどを確認できます。

6. [インシデントを調査] をクリックすることで、サイバーキルチェーンにアクセスし、インシデントをノードごとに調査できます。詳細については、サイバーキルチェーンでインシデントを調査する方法を参照してください。