インシデントを軽減するために実行される操作を理解する
インシデントを確認し、攻撃がどのように発生したかを調査した後、通常は、対応操作を適用します。対応操作を適用すると、これらの操作は多くの箇所で表示されるようになり、インシデントを軽減するためにどのような手順が実行されたかをより正しく理解することができます。
予防レイヤで作成されたインシデントには、保護計画で設定された操作が自動的に適用されます。検出ポイントについては、各攻撃シナリオを軽減するための関連する対応操作を定義する必要があります。
実行された対応操作を理解するために、インシデント全体に適用されたすべての対応操作を表示したり、インシデントのサイバーキルチェーンで特定のノードに適用された操作を表示したりできます。
インシデントに適用されるすべての対応操作を表示するには
- Cyber Protectコンソールで、[保護] > [インシデント] に進みます。
- 表示されたインシデントのリストで、調査するインシデントの最右列の
をクリックします。選択したインシデントのサイバーキルチェーンが表示されます。 - [アクティビティ] タブをクリックします。
インシデントに既に適用されている対応操作のリストが表示されます。
- 表示されたリストで、さまざまな操作を実行できます。
- アクティビティタイプの行をクリックすると、選択したアクティビティに関する詳細情報が表示されます。手順3のようにサイドバーに表示される情報には、操作を開始した人、ステータス、ファイルパス、開始者が追加したコメントなどの詳細が含まれます。
- 特定の操作を検索するには、[検索] ボックスを使用します。
- リストにフィルタを適用するには、[フィルタ] をクリックします。
- [影響を受けるエンティティごとにグループ化] チェックボックスを選択して、エンティティごとに関連する操作をグループ化します。
- 完了した操作のリストを表示/非表示にするには、
をクリックします。表示させたい操作の横に
が表示されていることを確認します。表示されているリストで操作を非表示にする場合は、もう一度クリックすると
に切り変わります。
特定のノードに適用された対応操作を表示するには
- サイバーキルチェーンでは、ノードをクリックすると、そのノードのサイドバーが表示されます。
- [アクティビティ] タブをクリックします。
- 適用された操作とその理由を完全に把握するには、場合によってそのノードに適用された対応操作をスクロールする必要があります。例えば、リモートデスクトップ接続操作の場合、誰がいつ操作を開始したか、操作の継続時間、全体のステータス(成功したか、失敗したか、エラーを伴い成功したか)を表示することができます。