適用対象: ThreatSync
インシデントは以下のいずれかのステータスとなります。
- 新規 — インシデントの詳細ページでまだ確認されていない新しいインシデント。
- 既読 — インシデントの詳細ページですでに確認されているインシデント、または手動で既読としてマーク付けされたインシデント。
- 終了済み — 自動化ポリシーによって終了されたインシデント、または脅威がもはや懸念事項ではないとアナリストが判断したために手動で終了されたインシデント。
インシデントのステータスは、インシデント ページまたはインシデントの詳細ページで変更することができます。たとえば、特定のインシデントへのアクションが完了した後、そのステータスを終了済みに変更して、インシデントのリストを整理した状態に保つことができます。既定では、インシデント ページには、ステータスが新規および既読のインシデントのみが表示されます。
特定の条件を満たすインシデントが自動的に終了されるように自動化ポリシーを構成することもできます。自動化ポリシーの詳細については、 次を参照してください:ThreatSync 自動化ポリシーについて。
インシデントのステータスを終了または変更するには、インシデント ページで以下の手順を実行します。
- 監視 > 脅威 > インシデント の順に選択します。
インシデント ページが開きます。 - 左側の列で、1 つまたは複数のインシデントのチェックボックスを選択します。
ステータスの変更とアクションのメニューが表示されます。
- ステータスを変更する ドロップダウン リストから、選択されているインシデントのステータスを選択します。
ステータスを変更する ダイアログ ボックスが表示されます。 - (オプション) ステータスの変更に関するコメントを入力します。
コメントは、インシデントの詳細ページのコメント ペインに表示されます。詳細については、次を参照してください:インシデントの詳細を確認する。
- ステータスを変更する をクリックします。
インシデント リストが新しいステータスで更新されます。
インシデントのステータスを終了済みにするには、インシデントの詳細ページで以下の手順を実行します。
- 監視 > 脅威 > インシデント の順に選択します。
インシデント ページが開きます。 - インシデント リストにあるインシデントをクリックします。
インシデントの詳細ページが開きます。 - インシデントを終了するには、ページの右上にある 終了 をクリックします。
- (オプション) ステータスを変更する ダイアログ ボックスで、ステータスの変更に関するコメントを入力します。
コメントは、インシデントの詳細ページのコメント ペインに表示されます。詳細については、次を参照してください:インシデントの詳細を確認する。
- ステータスを変更する をクリックします。
インシデント リストが新しいステータスで更新されます。