ESET Inspect – 目次

インシデント

インシデントは、ネットワーク内の潜在的な脅威や不審なアクティビティを明らかにする、関連するセキュリティイベントと検出の集約されたコレクションです。これにより、関連データをグループ化することでセキュリティ問題を包括的に把握できます。管理者h潜在的なサイバーセキュリティインシデントを分析し、優先順位を付け、効果的に対応できるようになります。

インシデント管理システムには、コメントやインシデント属性の編集など、複数のツールがあります。

新しいインシデントは、コンピューター検出実行ファイルの詳細で手動で作成したり、ルールによって自動的に作成したりできます。

ESETサービス担当者(ESR)によって調査されたインシデントには、インシデント名の後に新しいフラグESETによる調査済みが追加されます。

フィルタリング、タグ、およびテーブルオプション

画面上部のフィルターを使用して、表示される項目を絞り込みます。タグは、特定のコンピューター、検出、インシデント、実行ファイル、またはスクリプトを検索するときに強力な機能です。メインテーブルを管理するには、テーブルオプション歯車歯車アイコンをクリックします。

新しいインシデントを作成するか、既存のインシデントに検出を追加するオプションを選択します。

インシデントの作成 - ユーザーをウィザードウィンドウにリダイレクトします。

現在のインシデントに追加 - 現在のインシデントに要素を追加します。

最近のインシデントに追加 - 最後の3つのインシデントのいずれかに要素を追加します。

追加するインシデントを選択 - 選択したインシデントに要素を追加します。

インシデントフィルターパネル

インシデント重大度

重大度が低い

重大度が中

重大度が高い

インシデントステータス

オープン - インシデントは、セキュリティ管理者または他のユーザーによってオープンまたは再オープンされています。

進行中 - インシデントは進行中で、現在調査中です。

クローズ - インシデントはクローズされています。

 

インシデント名を右クリックして、さらにアクションを実行します。

詳細—インシデント詳細タブに移動します。

現在のインシデントにする - 青色でハイライト表示して、現在のインシデントであることを示します。

ステータスと担当者の変更 - 選択したインシデントの担当者とステータスを更新します。クローズステータスは、ステータス列に表示されるインシデントをクローズするための解決策をいくつか示します。

タグ - 既存のリストからインシデントにタグを割り当てるか、新しいカスタムタグを作成します。

インシデントの詳細

インシデントを選択すると、次の部分で構成される情報ウィンドウが開きます。

タイムライン

タイムラインには、インシデントの変更情報が表示されます。上部には、インシデントに追加されたステータス、重大度、割り当てられたユーザー、検出数、実行ファイル、コンピューター、プロセス、およびタグ(存在する場合)に関する情報が表示されます。関連する項目はすべて、選択したオブジェクトに基づいて[詳細]タブに表示されます。詳細をクリックして、オブジェクトの詳細ページに移動します(タイプ、コンピューター、検出、およびプロセスに基づく)。

インシデント - インシデントに関する包括的な詳細。

詳細 - オブジェクトに関する包括的な詳細。

プロセスツリー - プロセスに関連するプロセスツリー。

関連オブジェクト - インシデントに関連するオブジェクト(コンピューターや実行ファイルなど)のリスト。オブジェクトの横にある追加をクリックして、インシデントグラフに表示します。

ESET AI Advisor

ESET AI Advisorは、Incident Creatorによって作成されたインシデントを支援したり、検出の詳細を提供したりするLLMツールです。選択したインシデント、その要素、およびESET Inspect Webコンソールによって管理されるすべてのオブジェクト参照されます。

注意

ESET AI Advisorは、クラウド版のESET Inspectでのみ利用可能で、対象となるライセンスがある場合のみです。

選択したインシデントについてESET AI Advisorにサポートを依頼します。次に、質問の例をいくつか示します。

oインシデントを要約してください。

oインシデントを攻撃チェーンのステップを箇条書きで要約してください。

o(特定の検出)に関する詳細情報を表示してください。

o(特定のプログラム)インストールに関する詳細をしてください。

oこのインシデントで攻撃者はどのような手法を使用しましたか?

o攻撃者はどのような手法を使用しましたか(資格情報アクセス/永続化など)?

oこのインシデントの解決に関するアドバイスをください。

重要

ESET AI Advisorとの会話は現在、1つのESET Inspect Webコンソールのすべてのユーザーアカウントの1日あたりの質問数によって制限されています。チャットの上限に達すると、チャットの使用量を示す進行状況バーが表示されます。この制限は、毎日UTC時間の深夜にリセットされます。

ESET AI Advisorでは、現在、7日以内のインシデントを処理しています。

注意

ESET AI Advisorは、主にESET Inspect内部のインシデントを支援するための機能です。

ESET Inspect Webコンソールの言語はサポートされていますが、最良の結果を得るには英語を使用することをお勧めします。

インシデントグラフ

インシデントグラフには、選択したインシデント(検出、コンピューター、実行ファイル、イベントのタイムラインなど)の対話型ノードグラフの視覚化が表示されます。

検出

インシデントに検出が含まれている場合は、ここに表示されます。検出を操作するためのオプションは検出タブと同じですが、ユーザーが選択した検出をインシデントから削除できる削除ボタンは除きます。

コンピューター

インシデントにコンピューターが含まれている場合は、ここに表示されます。検出を操作するためのオプションはコンピュータータブと同じですが、ユーザーが選択したコンピューターをインシデントから削除できる削除ボタンは除きます。

実行ファイル

インシデントに実行可能ファイルが含まれている場合は、ここに表示されます。実行ファイルを操作するためのオプションは実行ファイルタブと同じですが、ユーザーが選択した実行可能ファイルをインシデントから削除できる削除ボタンは除きます。

プロセス

インシデントにプロセスが含まれている場合は、このタブに表示されます。インシデントから選択したプロセスを削除できます。

アクションボタン

インシデントの詳細は、画面下部のボタンで管理できます。

インシデント

現在のインシデントにする - 青色でハイライト表示して、現在のインシデントであることを示します。

ステータスと担当者の変更 - 選択したインシデントの担当者とステータスを更新します。クローズステータスは、ステータス列に表示されるインシデントをクローズするための解決策をいくつか示します。

タグ - 既存のリストからインシデントにタグを割り当てるか、新しいカスタムタグを作成します。

修正

拡散を防ぐ:

o実行ファイルのブロック - SHA-1ハッシュとSHA-265ハッシュに基づいて実行ファイルをブロックして、実行可能ファイルの実行を防止します。ブロックされた実行可能ファイルファイルは、ブロックされたハッシュセクションに表示されます。

o実行ファイルを駆除してブロック - 実行ファイルを隔離に移動し、ブロックされたハッシュに追加して、将来の発生を防ぎます。

oコンピューターをネットワークから分離 - ESETセキュリティ製品間の通信を除き、コンピューター上のすべてのネットワーク通信をブロックします。

デバイスの保護:

oこのコンピューターのプロセスを終了—検出をトリガーした実行中のプロセスを強制終了します。

oコンピューターのマルウェアを検査 - オンデマンドコンピューター検査を実行します。

oコンピューターのシャットダウン - コンピューターをシャットダウンします。

コメント

インシデントにコメントを追加します。

編集

名前 - インシデントの名前を編集します。

説明 - インシデントの説明を編集します。

重大度 - インシデントの重大度を編集します。

担当者 - インシデントの担当者を編集します。

タグ - 既存のリストからタグを割り当てるか、カスタムタグを作成します。

コメント - 既存のコメントを変更するか、新しいコメントを追加します。

グラフ

画面に合わせる - グラフを中央に配置して、すべてのノードを表示します。

リセット - すべてのノードを初期位置に戻します。

再描画 - グラフ情報を更新します。