TrendAI Vision One 件

ビュー:

TrendAI Vision One™でケースを開き、Workflow and Automation → [Case Management]で組織のケースを管理します。

Case Managementは、セキュリティオペレーションセンター (SOC) チーム、情報技術 (IT) チーム、またはリスクマネージャによって開かれたTrendAI Vision One™ケースを表示します。TrendAI Vision One™ケースは、Cyber Risk Exposure Management、Security Playbooks (Automated Response Playbookを使用)、Workbench、およびCompliance Managementのインシデント、イベント、アラートに基づいています。Case Managementは、60日間非アクティブなTrendAI Vision One™ケースを自動的に閉じます。

TrendAI Vision One™がアラートやインサイトを関連付けてインサイトを統合する際、関連するケースも統合されます。統合により、1つのケースがクローズされ、すべてのメモ、所有者、履歴が残りのケースに移動されます。

次の表は、Case Management で実行可能な処理の概要を示しています。

処理

説明

ケースデータを検索してフィルタリングする

これらのオプションを使用して特定のケースを見つけてください。

ケースのステータス: ケースが現在進行中のフェーズ
- [To do] ()
- [進行中] ()
- [クローズ] ()
検出: 調査結果 (Workbenchで作成されたケースのみ利用可能)
- [真陽性]:調査により脅威や悪意のある活動の発生が確認されました。
- [誤検出]: 不正なアクティビティは見つかりませんでした。
- [無害な検出]: 調査により、組織にリスクをもたらさない真正の脅威の存在が確認されました。無害な真陽性は、ペネトレーションテストや環境内の他の正当な活動の結果です。
- [注目すべき検出]: TrendAI Vision One™が通常と異なるアクティビティを検出しました。さらに調査が必要です。
- -: 調査結果はありません。
所有者: ケースに割り当てられたユーザアカウント。
[Case search]: 入力されたフレーズや用語に一致するケースを迅速に検索します
フィルターを追加: 追加のケースフィルター
- 関連項目
- 閉じたユーザ
- 作成済み
- 作成者
- 最終更新
- オブジェクト名
- オブジェクトタイプ
  - AMSIスクリプト
  - CLIコマンド
  - クラウドコラボレーションアプリ
  - クラウドID
  - デスクトップ
  - ドメイン
  - メールアドレス
  - メールメッセージ
  - ファイル
  - IAM権限
  - IP address
  - 不正プログラム
  - 優先度
  - プロセス
  - レジストリ
  - 機密データ
  - [サーバ]
  - テキスト
  - 種類
  - URL
  - ユーザアカウント
- オブジェクト値
- [優先度]: ケースに対して所有者が割り当てた優先度。
- SLAステータス: ケースがサービスレベル契約を違反したかどうか
- [種類]: ケースの種類

上記のフィルターに加えて、[Case Management]で表示される列をカスタマイズできます。

ケースID/名前: ケースのIDと名前。クリックしてケースの詳細を表示します
[優先度]: ケースに対して所有者が割り当てた優先度。
- [P0]: 最優先
- [P1]: P0より優先度が低く、P2およびP3より優先度が高い
- [P2]: P0およびP1よりも優先度が低く、P3よりも優先度が高い
- [P3]: 最低優先度
[種類]: ケースの種類
- Compliance Management
- [Forensics]
- 一般
- その他
- [リスクイベント]
- [Workbench]
関連項目: アラート、ワークベンチID、アーティファクト、または外部チケットのような関連オブジェクト
[作成日時]: ケースが作成されたのはどれくらい前か
- [すべて]
- [過去24時間]
- [過去3日間]
- [過去7日間]
- [過去30日間]
- [カスタム期間]
[作成者]: ケースを作成したTrendAI Vision One™ユーザ、Playbook、またはサードパーティアプリ
[Closed by]: ケースをクローズしたTrendAI Vision One™ユーザ、Playbook、またはサードパーティアプリ。
[最終更新]: ケースが最後に変更された日時
- [すべて]
- [過去24時間]
- [過去3日間]
- [過去7日間]
- [過去30日間]
- [カスタム期間]
SLAステータス
ケース期間: ケースが開いていた合計時間
TTC: ケースを開いてからケースステータスが[クローズ]になるまでの経過時間
TTC remaining: サービスレベル合意を破る前にケースステータスを[クローズ]に設定するまでの残り時間
TTR: ケースを開いてから最後の成功した対応までの経過時間
TTR remaining: サービスレベル合意を破る前に対応処理を実行するかSecurity Playbookを実行するまでの残り時間
TTA: ケースを開いてからケースステータスまでの経過時間
TTA remaining: サービスレベル合意を破る前にケースステータスを[進行中]に設定するまでの残り時間
TTI: ケースステータスが[進行中]に変更されてから最後の対応処理までの経過時間
期限

ケースのステータスを変更する

1つ以上のケースを選択して [ステータスを変更] をクリックし、ケースの進捗を更新します。

Cyber Risk Exposure Managementで作成されたケースは、関連するすべてのリスクイベントが修正、承認、または却下されると、自動的に[クローズ]に変更されます。すべてのリスクイベントが解決されていない場合、ケースを手動でクローズする際にリスクイベントのステータスを変更することができます。

ケースの検出結果を変更する

1つ以上のケースを選択して [検出結果を変更] をクリックし、ケースの所見を更新します。

ケースの優先度を変更する

1つ以上のケースを選択して [優先度を変更] をクリックし、ケースの優先度を更新します。

ケースにファイルを添付

ケース名をクリックしてケースの詳細を開き、[ファイルを添付]をクリックします。

組織は、Case Management内のすべてのケースにおいて、最大1GBの添付ファイルをアップロードできます。

調査レポートを生成する

重要

これは「プレリリース」機能であり、公式リリースとは見なされません。を確認してください。プレリリースに関する免責事項機能を使用する前に

TrendAI™Companionで生成AIを有効にした場合、ケース名をクリックしてTrendAI™Companion → [調査レポートを生成]に移動します。TrendAI™Companionはケースの脅威調査と修復レポートを生成し、Dashboards and Reports → [レポート]に移動してプレビュー、編集、ダウンロードできます。

このアクションは、真陽性の所見があるWorkbenchケースでのみ利用可能です。

ケース要約を作成

重要

これは「プレリリース」機能であり、公式リリースとは見なされません。を確認してください。プレリリースに関する免責事項機能を使用する前に

TrendAI™Companionで生成AIを有効にした場合、ケース名をクリックしてTrendAI™Companion → [ケースを要約]に移動します。TrendAI™Companionは、前回の進捗ノートが作成されて以来、ケース内で作成されたすべてのノートを要約します。

要約はアクティビティの項目として表示されます。要約された進捗メモは、ケースを新しい担当者に引き継ぐ際に役立ちます。

所有者を割り当て

1つ以上のケースを選択し、[所有者を割り当て]をクリックして、組織内のアカウントをケースに割り当てます。

所有者の割り当てには次の制限があります:

IdP専用SAMLグループユーザの場合:
- TrendAI Vision One™にサインインしてキャッシュされているユーザのみを割り当てることができます。
- [User Accounts]はIdP専用SAMLグループのすべてのユーザを一覧表示できません。
[IdP-only SAML groups] と [IdP-only SAML group users] はメール通知を受け取ることができません。

影響を受けたアセットを変更

Cyber Risk Exposure Managementで作成されたケースでは、特定の影響を受けたアセットを選択し、アセットを別のケースに移動するか、ケースから削除することができます。アセットは同じリスクイベントを含むケース間でのみ移動できます。

サブケースを開く

ケースを見つけ、

options=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png

をクリックして[関連ケースを開く]を選択します。新しいケースは自動的にメインケースにリンクされます。

関連ケースは、複雑な調査を小さなサブケースに分割する柔軟性を提供する独立したサブケースです。関連ケースはメインケースに対してより多くの情報を提供します。

サブケースにForensicsワークスペースを追加

Forensicsケースを選択して、[Create Forensics Workspace] をクリックします。

新しいForensicsワークスペースは、関連するケースに関連項目として自動的に追加されます。Forensicsワークスペースには、Workbenchアラート/インサイトの影響範囲に含まれるすべてのエンドポイントが含まれます。

追加通知を編集

Cyber Risk Exposure Managementで作成されたケースについては、通知を受け取るメールアドレスを指定するために

をクリックして説明を入力してください。

ServiceNowとの統合を有効にする

→ [統合設定]をクリックしてServiceNowと統合します。

ServiceNowと統合することで、Case ManagementチケットをServiceNow ITSMに送信し、ServiceNowポータルで管理できます。これは、Automated Response Playbooksから作成されたWorkbenchケースのみサポートされています。

列のカスタマイズ

columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg

をクリックして、Case Managementに表示する列を選択します。

データを更新

最新のケース情報を取得するには refresh=5bd75452-c2fb-43ed-90e6-7b552fdc5dd2.png

をクリックしてください。

ケースをCSVファイルにエクスポート

ケースを選択し、

をクリックしてケースデータのレポートを作成します。Case Managementはデータをカンマ区切り値 (CSV) ファイルに保存します。また、レポートアプリでファイルを表示およびダウンロードすることもできます。

ケースタスクを作成

ケースを開き、ケースの完了に必要な作業を追跡するタスクを作成します。次のフィールドを設定してください。

タスク名: タスクの名前
所有者: タスクに割り当てられたユーザアカウント

タスクに1人以上の所有者を割り当てることができます。
説明: タスクの追加詳細
ステータス: タスクの現在のフェーズ
- すべて
- やること
- 進行中
- 解決済み
- 拒否
期限: タスクを完了する必要があるとき

タスクを検索およびフィルター

これらのオプションを使用して特定のタスクを見つけてください。

ステータス: タスクの現在のフェーズ
- やること
- 進行中
- 解決済み
- 拒否
所有者: タスクに割り当てられたユーザアカウント

タスクに1人以上の所有者を割り当てることができます。
- すべて
- 未割り当て
- Specific owners
タスク名: 入力されたフレーズや用語に一致するタスクを検索します

ケースタスクを表示および編集

これらのオプションを使用して特定のタスクを見つけてください。

一括でタスクを更新

以下のフィールドを同時に更新するために、1つ以上のタスクを選択してください。

期限
ステータス
所有者

一括でタスクを削除することはできません。

日付でタスクをフィルター

日付フィルターを使用して、期限日または作成日でタスクを検索してください。

タスクの検索

検索バーを使用して、次の条件でタスクを迅速に見つけます。

タスク名
タスクID

ケースに関連付けられたタスクを表示

ケースを展開して、それに関連するタスクを表示します。