ESET PROTECT – 目次

インシデント

インシデントを使用すると、検出をインシデントに相関付けることができ、脅威の調査が改善されます。インシデントは検出から自動的に作成されるため、アラートのトリアージ時間が大幅に短縮されます。

インシデントセクションには、事前定義されたルールに基づいて検出から自動的に作成されたインシデントが一覧表示されます。

ビューのフィルタリング

ビューをフィルタリングするには複数の方法があります。

タグセレクター(矢印アイコン)をクリックし、タグを選択すると、一覧のインシデントのフィルターをアクティブにすることができます。結果は青色でハイライト表示され、選択したタグが付いたインシデントが表示されます。

インシデントの重大度severity_highseverity_medium、またはseverity_lowをクリックします。オンまたはオフにして、アイコンを組み合わせて使用することができます。

インシデントステータス - open_incidentオープンin_progress_incident進行中scheduled入力待ち、またはclosed_incidentクローズ

フィルターの追加をクリックし、ドロップダウンメニューからインシデントのタイプを選択します。

o担当者—担当者の名前を入力します。

o作成者 - ドロップダウンメニューから選択します。ESET、ESETサービス、またはユーザー名。

oクローズの理由 - ドロップダウンメニューから選択します。すべて、誤検知、不審、真陽性。

o作成時間 - ドロップダウンメニューから選択します: ≤ 今日、≤ 24時間前、≤ 3 日前、≤ 7日前、≤ 14日前、≤ 30日前、≤ 90日前、≤ 180日前

o前回の更新 - ドロップダウンメニューから選択します: ≤ 今日、≤ 24時間前、≤ 3 日前、≤ 7日前、≤ 14日前、≤ 30日前、≤ 90日前、≤ 180日前

o名前—インシデント名を入力します。

oコンピューターの数 - 選択したコンピューターの数を入力します。

o検出数 - 選択した検出の数を入力します。

フィルターとレイアウトのカスタマイズ

現在のWebコンソール画面ビューをカスタマイズできます。

サイドパネルとメインテーブルを管理します。

フィルターとフィルタープリセットを追加します。 タグを使用して、表示される項目をフィルタリングできます。


注意

リスト内で特定のインシデントを見つけることできずESET PROTECTインフラストラクチャ内にあることがわかっている場合には、すべてのフィルターがオフになっていて、権限セットがユーザーアカウントに割り当てられていることを確認してください。

重要

設定した権限は、静的グループステップで選択した静的グループの親会社に適用されます。

gear_icon プリセット

フィルターセット

icon_inspect_default Inspect

ESET Inspect Webコンソールのインシデントセクションを開きます。 ESET Inspectは、ESET Inspectライセンスがあり、ESET InspectがESET PROTECTに接続している場合にのみ使用できます。 WebコンソールのユーザーがESET Inspectへアクセスするには読み取り以上の権限が必要です。

update_default 更新

更新間隔

インシデントの詳細

インシデントを選択し、アクションボタンをクリックし、3つのドットのicon_more_verticalボタンをクリックして、次の操作を行います。

詳細を表示 - インシデントの概要を表示します。

概要—次の情報が表示されます。

oメインセクションに表示されるインシデントの詳細。

o会社への影響 - 影響を受けたコンピューター実行ファイルプロセスの数。数字をクリックすると、関連する特定のページに移動します。

重要

実行可能ファイルプロセスは、アクティブなESET Inspectライセンスを持つEDRティアのお客様のみが利用できます。クラウドESET Inspectコンソールにリダイレクトされ、リストが表示されます。

oコメント - インシデントのコメントを追加できます。すべてのコメントを表示をクリックして、作成されたすべてのコメントを表示します。コメントの編集コメントのピン留めコメントの削除を行うことができます。

o説明—インシデントの説明。

oMITTRE ATT&CK®手法 - 選択したインシデントで使用可能なMITTRE ATT&CK手法。

o推奨される手順 - インシデント対応プロセスを開始するための手順。

検出 - 検出の一覧検出をクリックすると、検出の詳細が表示されます。プロセスノードと検出ノードを含むプロセスツリーを表示できます。

プロセスツリー

重要

現在、プロセスツリーのベータ版のみを提供しており、選択した検出のみが表示されます。

プロセスツリーで、ユーザーは検出を移動できます。プロセスツリー内のプロセスノード(丸いノード)または検出ノード(長方形のノード)をクリックすると、データの可用性に基づいて詳細が表示されます。

arrow_down_business検出ノード:
arrow_down_businessプロセスノード:

影響を受けるコンピューター - 影響を受けるコンピューターの一覧。

インシデントタイムライン - トリガーイベントからインシデントの終了まで、インシデントの簡潔な履歴を含むタイムライン

すべてのセクションで、次のボタンをクリックできます。

Inspectボタンをクリックして、ESET Inspectにリダイレクトし、インシデントグラフでインシデントを調べます。

更新ボタンupdate_defaultをクリックして、ページを更新します。

インシデントに対応ボタンをクリックして、影響を受けるオブジェクトを選択し、それらの対応アクションを定義します。対応アクション(分離ユーザーのログアウト再起動検査と駆除)を選択し、確認をクリックできます。

oコンピューター > 続行 > 対応アクション(分離ユーザーのログアウト再起動検査と駆除) > 確認を選択します。

oプロセス > 続行 > 対応アクション(プロセスの強制終了) > 確認を選択します。

o実行ファイル > 続行 > 対応アクション(ブロックブロックと駆除) > 確認を選択します。

ステータスと担当者の変更 - ドロップダウンメニューからクリックして選択します。

oステータス - ドロップダウンメニューからインシデントの現在のステータスを選択します。オープン進行中入力待ち、またはクローズ。[クローズ]を選択した場合、インシデントを閉じる理由(真陽性疑わしい誤検知、または無効)を追加で選択し、必要に応じてコメントを書きます。

o担当者 - オープンまたは進行中ステータスを選択した場合は、ドロップダウンメニューから使用可能なユーザーを選択します。

[保存]をクリックします

タグ - ドロップダウンメニューからタグをクリックして選択し、適用をクリックします。または、新しいキーワードを入力し、Enterキーを押して新しいタグを作成することもできます。