インシデントは、モニター対象ネットワークで NSX Network Detection and Response 検出されたセキュリティ関連のアクティビティを表します。インシデントは、1 つのイベント、または自動的に相関付けられ、密接に関連していると判断された多数のイベントで構成されす。インシデント リストには、対応する脅威レベルの登録済みインシデントが表示されます。

重大と判断されたすべての報告済みインシデント、注意が必要なインシデント、またはネットワーク内の迷惑と見なされるインシデントをすべて確認できます。重大インシデントは遅滞なく処理する必要があります。重大インシデントに対処できないとリスクが高くなり、ネットワーク内の他のホストも侵害される可能性が高くなります。

まだ調査していないインシデントには未読のマークが付けられ、すでに調査済みのインシデントには既読のマークが付けられます。インシデントを選択したり、既読や未読のマーキングなどのアクションを実行したりできます。選択したインシデントをクローズしたり、オープンしたりすることもできます。

リストの上にある [高速検索] テキスト ボックスを使用すると、入力と同時に高速で検索できます。リスト内の行をフィルタリングし、クエリ文字列に一致するテキストを任意のフィールドに含む行のみを表示します。

[選択] ドロップダウン メニューを使用して、きめ細かい選択を行います。このオプションを使用すると、[すべての表示されるインシデント] または [選択をクリア] を選択できます。また、[既読 (現在のページ)] または [未読 (現在のページ)] を選択することもできます。さらに、タイトル行の [編集] アイコンをクリックして、表示されているすべてのメッセージを選択することもできます。

[アクション] ドロップダウン メニューを使用して、選択したインシデントを更新します([既読にする][未読にする][クローズ]、または [オープン])。

表示する行数はカスタマイズできます。デフォルトのエントリ数は 20 件です。左山括弧アイコン右山括弧アイコン アイコンを使用して、複数のページ間を移動します。

リストに表示される列は、追加コンテンツ アイコンをクリックしてカスタマイズできます。

各行は、インシデントのサマリです。[プラス] アイコン(またはエントリ行の任意の場所)をクリックして、インシデントの詳細にアクセスします。メッセージ行を選択するには、[編集] アイコンをクリックします。

リストは 影響 で並べ替えられ、次の列が含まれます。

説明

ホスト

このインシデントの影響を受けるホスト。この列には、現在のディスプレイ設定ポップアップに応じて、ホストの IP アドレス、ホスト名、またはラベルが表示されます。

暗い色の丸の中の検索アイコン アイコンをクリックして、ホストの詳細を示す [ホスト プロファイル] ページを表示します。

並べ替えアイコン アイコンをクリックして、ホスト情報別にリストを並べ替えます。

検出イベント

このインシデントを構成するイベントの数。これは、イベント数と 暗い色の丸の中の検索アイコン アイコンを表示するリンクです。このリンクをクリックすると、[イベント] ページがロードされ、このインシデントのイベントのみが表示されます。

並べ替えアイコン アイコンをクリックして、イベント別にリストを並べ替えます。

開始

インシデントの開始時間。

並べ替えアイコン アイコンをクリックして、開始時間別にリストを並べ替えます。

終了

インシデントの終了時間。

並べ替えアイコン アイコンをクリックして、終了時間別にリストを並べ替えます。

脅威

検出されたセキュリティ リスクの名前。

並べ替えアイコン アイコンをクリックして、脅威別にリストを並べ替えます。

脅威クラス

検出されたセキュリティ リスク クラスの名前。

[並べ替え] アイコンをクリックして、脅威クラス別にリストを並べ替えます。

影響

影響の値は、検出された脅威の重大度を 1 ~ 100 の範囲で示します。

  • 70 以上の脅威は重大と見なされます。

  • 30 ~ 69 の脅威は中リスクと見なされます。

  • 1 ~ 29 の脅威は無害と見なされます。

停止 アイコンが表示された場合は、アーティファクトがブロックされていることを示します。

リストは、影響の降順で並べ替えられます(最も重大なインシデントが一番上にあります)。昇順に並べ替え アイコンをクリックしてリストを昇順で並べ替え(最も重要度の低いインシデントを上部に表示)、次に下向き降順に並べ替え アイコンをクリックしてデフォルトに戻します。

インシデントの詳細

インシデント行の任意の場所をクリックすると、インシデント リスト内の [インシデントの詳細] ビューが展開されます。

インシデントの詳細の上部には、多くのボタンがあります。

  • インシデントをクローズするには、アーカイブ アイコン ボタンをクリックします。

  • [アクション] ドロップダウン メニューを使用して、インシデントに対してアクションを実行します。

    • インシデントがまだクローズされていない場合は、[インシデントをクローズ] アーカイブ アイコン を選択します。それ以外の場合は、[インシデントをオープン] を選択します。

    • インシデントがまだ読み取られていない場合は、[既読にする] を選択します。それ以外の場合は、[未読にする] を選択します。

    • [脅威を無視] を選択します。脅威の詳細がメニュー項目に表示されます。この項目を選択すると、ホスト上のこの特定の脅威の存在は関心がないことを示します。したがって、このホストでこの脅威が検出されたすべてのインシデントは自動的にクローズします。

    • [ホスト <host> をクリーンアップ済みとマーク] を選択します。システムは、インシデントに関係するホストをクリーンアップ済みとしてマークします。その結果、そのホスト上のすべてのインシデントがクローズします。

  • [ 拡大鏡アイコンインシデントの詳細を表示] をクリックすると、[インシデント プロファイル] ページの内容が新しいブラウザ タブで表示されます。

  • [アラートの管理] をクリックすると、[アラートの管理] サイドバーが起動します。この機能を使用して、指定されたインシデントに関連する無害なイベント(システムのテストやブロック関連のインシデントなど)を抑止または降格します。詳細については、[アラートの管理] サイドバーを操作するを参照してください。

  • サマリ アイコン[既読にする] をクリックして、インシデントをマークします。ボタンが [未読にする] に切り替わり、これにより、既読状態を元に戻すことができます。

インシデントのサマリ

上部セクションには、検出された脅威の視覚的な概要が表示され、その影響スコアが表示されます。

インシデントの詳細

[インシデントの詳細] ウィジェットには、インシデントに関する詳細なネットワーク情報が表示されます。次のデータが含まれます。
説明
送信元 IP インシデント ソースの IP アドレス。拡大鏡アイコン アイコンをクリックすると、[ホストのアクティビティ] ページが表示されます。ネットワーク分析アイコン アイコンをクリックして、[ネットワーク分析] ページに送信元を表示します。
送信元のホスト 利用可能な場合は、インシデントの送信元の FQDN。
イベント このインシデントを構成するイベントの数。
インシデント ID [インシデント プロファイル] ページへのパーマリンク。リンクが新しいブラウザ タブ/ウィンドウで開きます。
キャンペーン ID キャンペーン ページへのパーマリンク。リンクが新しいブラウザ タブで開きます。
影響 システムがこのインシデントに適用した影響スコア。
開始時間 インシデントの開始のタイムスタンプ。
終了時間 インシデントの最後に記録されたイベントのタイムスタンプ。
状態 インシデントがクローズしたかどうかを示します。

エビデンス

[エビデンス] ウィジェットを展開すると、NSX Network Detection and Response によって検出されたイベントのリストが表示されます。

リストに表示される列は、3 本の横棒アイコン アイコンをクリックしてカスタマイズできます。

各行は、エビデンス エントリのサマリで、次の列が含まれています。
説明
最初の検出

このイベントが最初に検出されたときのタイムスタンプ。

最後の検出

このイベントが最後に検出されたときのタイムスタンプ。

脅威

検出されたセキュリティ リスクの名前。

脅威クラス

検出されたセキュリティ リスク クラスの名前。

影響

このインシデントに適用される影響スコア。

エビデンス

このインシデントのエビデンス カテゴリ。エビデンスの詳細ブロックのタイトルは、カテゴリ名から取得されます。

サブジェクト

現在、分析中のアーティファクト(通常はファイル)。

リファレンス

イベント ページへのパーマリンク。リンクが新しいブラウザ タブで開きます。

エビデンスの詳細

丸で囲んだプラス記号のアイコン アイコン(またはインシデント エントリ行の任意の場所)をクリックして、エビデンスの詳細ブロックを表示します。

エビデンスの詳細ブロックのタイトルは、エビデンスのタイプから取得されます。たとえば、レピュテーションのエビデンスなどです。

このセクションには、エビデンスに関する詳細情報が表示されます。次のデータが含まれます。
データ 説明
脅威 検出されたセキュリティ リスクの名前。
脅威クラス 検出されたセキュリティ リスク クラスの名前。
影響 このインシデントに適用される影響スコア。
ディテクタ 脅威を特定した NSX Network Detection and Response モジュールが表示されます(ある場合)。リンクをクリックすると、[ディテクタ] ポップアップ ウィンドウが表示されます。[ディテクタのドキュメント] ポップアップ ウィンドウを参照してください。
ネットワーク イベントの表示 イベント ページへのパーマリンク。リンクが新しいブラウザ タブで開きます。
ネットワーク イベントの表示 イベント ページへのパーマリンク。リンクが新しいブラウザ タブで開きます。
最初の検出 このイベントが最初に検出されたときのタイムスタンプ。
最後の検出 このイベントが最後に検出されたときのタイムスタンプ。
重要度 検出された脅威の重要度の見積もり。たとえば、C&C(コマンドとコントロール)サーバへの接続が検出された場合、接続が破損している可能性があるため、重要度は通常「高」と見なされます。
信頼性 検出された個々の脅威が、実際にどの程度悪意があるものかを示します。システムは高度なヒューリスティックを使用して未知の脅威を検出するため、見つかった特定の脅威に関する情報量がわずかであれば、その脅威の信頼性の値は低くなります。
サブジェクト 存在する場合、分析中のアーティファクト(通常はファイル)が表示されます。

詳細については、エビデンスについてを参照してください。