ビュー:

アラートの範囲と重大度を調査して把握し、対応処理を決定します。

[すべてのアラート] 画面 (Agentic SIEM & XDRWorkbench) には、検出モデルによってトリガーされたすべてのスタンドアロンアラートが表示されます。
次の表は、 [アラートビュー] 画面で使用できる処理の概要を示しています。
処理
説明
アラートの調査
アラートの範囲と重大度を理解することで、対応処理をさらに決定します。
新しいケースを開く
Workbenchアラートを見つけて [新しいケースを開く] をクリックし、アラートを処理する新しいケースを作成します。
重要
重要
スタンドアロンアラートのケースを開くと、Workbenchアラートノート機能が無効になり、関連するすべてのWorkbenchノートがケースに転送されます。
ケースに直接追加できるのは、新しいメモのみです。
アラートの詳細の表示
アラートのIDをクリックして、アラートの要約、ハイライト、相関グラフを表示します。
アラートデータのフィルタ
ドロップダウンメニューを使用して、Case Managementでアラート[ステータス][ケースのステータス]、アラート[作成日時]時間、および調査[検出]でアラートデータをフィルタリングします。
注意
注意
次の調査結果を確認できます。
  • -: 調査結果はありません。
  • [無害な検出]: 調査により、組織にリスクをもたらさない真正の脅威の存在が確認されました。無害な真陽性は、ペネトレーションテストや環境内の他の正当な活動の結果です。
  • [誤検出]: 不正なアクティビティは見つかりませんでした。
  • [注目すべき検出]: Trend Vision Oneが通常と異なるアクティビティを検出しました。さらに調査が必要です。
  • [真陽性]:調査により脅威や悪意のある活動の発生が確認されました。
[フィルターを追加]をクリックし、ドロップダウンメニューからオプションを選択して、[アセットグループ][カスタムタグ][重要度][データソース/プロセッサ][エンドポイントグループ][モデル名][モデルタイプ][所有者]でフィルタリングします。
検索ボックスを使用してアラートデータをフィルタリングすることもできます。
ビューを変更する
[表示]ドロップダウンメニューから次のオプションのいずれかを選択してビューを変更します。
  • [すべて]: フィルタ条件に一致するすべてのアラートを表示します。
  • グループ化
    • [モデル]: アラートを検出モデル名別にグループ化します。
    • [エンドポイント]: エンドポイント名でアラートをグループ化します。
    ヒント
    ヒント
    右矢印 (Workbench_right_arrow=GUID-086A3484-09C5-4182-8C88-8B5D59C8E61F=1=ja-jp=Low.png ) をクリックして、特定のモデルまたはエンドポイント名でグループ化されたアラートを展開します。
アラートステータスの変更
アラートまたは調査の進行状況を更新するには、1つ以上のアラートを選択し、 [ステータスを変更] をクリックします。
アラート結果の変更
1つ以上のアラートを選択し、 [検出結果を変更] をクリックしてケースの検出結果を更新します。
所有者を割り当て
1つ以上のアラートを選択し、 [所有者を割り当て] をクリックして、組織内のアカウントをアラートに割り当てる
Workbenchのインサイト間でアラートを移動する
1つ以上のアラートを選択し、次のいずれかのオプションを選択します。
  • [Associate with insight]: アラートを指定したWorkbenchサイトに移動します。
  • [Remove from insight]: 現在のWorkbenchインサイトからアラートを削除します。
重要
重要
  • Workbenchは移動したアラートを新たに受け取ったアラートとの相関を試行しなくなりました。
  • アラートは1つのWorkbenchサイトにのみ属することができます。
自動応答Playbookを参照
[Automated Response Playbooks]をクリックして、Security Playbooksで利用可能なAutomated Response Playbookを表示します。
関連情報