インシデントを監視する方法
[インシデント] ページを使用して、選択した時間範囲内のテナントに関連するすべてのインシデントを表示します。[インシデント]ページにアクセスするには、[Juniper Security Director Cloud]を選択して>インサイト>インシデントを監視>。
データがグリッド ビューに表示されます。[タイムライン] セクションでは、リストからログ パーサーを選択して、タイムライン グラフにログ データを表示できます。ズームイン、ズームアウト、すべてのデータの表示、およびデータの更新を行うことができます。
インシデント ID、インシデントの状態、進行状況などを表示できます。インシデントをクリックして詳細を表示し、必要に応じてService Nowチケットを作成できます。
チケットを作成すると、インシデントのステータスが [確認済み] に変わります。
表 1 に、グリッドで使用できるさまざまなフィールドを示します。10 分、30 分、1 時間、8 時間、1 日、4 日、7 日、および 30 日のデータを表示できます。
フィールド名 |
説明 |
---|---|
ステータス |
Service Nowチケットのステータスを指定します。Service Nowチケットを作成すると、ステータスに[確認済み]と表示されます。 |
インシデント ID |
インシデント ID を指定します。 |
リスク |
脅威メトリックと重大度評価を指定します。 |
進行 |
インシデントの進行状況を指定します。たとえば、フィッシング、感染などです。 |
脅威ターゲット |
ターゲットの IP アドレスを指定します。 |
日付と時刻 |
インシデントのタイムスタンプを指定します。 |
[状態] 列で、[ 新規 ] をクリックしてインシデントの状態を設定します。
インシデントを選択し、右クリックして [詳細] を選択し、インシデントの概要を表示します。
表 2 に、[インシデントの概要] ページで各インシデントで使用できるオプションを示します。
オプション |
説明 |
---|---|
インシデントの詳細 |
[ インシデントの詳細 ] をクリックして、インシデントの詳細を表示します。 |
インシデントの軽減 |
[ 軽減] を選択して、ソース IP フィルタリング/エンドポイント IP フィルター処理の軽減策が無効になっている場合は有効または無効にし、その逆も同様です。 インシデントを軽減するには、ATPクラウドを構成しておく必要があります。 ATPマッピングを参照してください。 |
チケットを作成 |
「チケットの作成」をクリックして、インシデントの「今すぐサービス」 チケット を作成します。Service Nowチケットを作成するには、Service Nowの設定をすでに構成しておく必要があります。 「サービスの現在の構成について」を参照してください。 ServiceNowチケットを作成するには:
|
タイムライン表示
タイムライングラフですべてのインシデントを表示できます。各イベントにカーソルを合わせると、インシデントの詳細が表示されます。「ベンダー」リストで、必要なログ・パーサーを選択できます。1 つまたはすべてのログ・パーサーを選択できます。デフォルトでは、タイムライン・グラフには、ログ・ソース内のすべての構成済みベンダーが表示されます。
[クラスタ(Cluster)] オプションを有効にして、同じ時刻に属するイベントをクラスタリングできます。
タイムライングラフのデータをズームイン、ズームアウト、およびリセットすることもできます。リセットオプションは、対応するインシデントのイベントを表示します。