作成方法

1. 手動作成

ケースはユーザーインターフェースを通じていくつかの方法で手動で作成できます:
  • ケースリストビューの「新規ケース」ボタンを使用
  • ナビゲーションバーのクイックアクションメニューから
  • 設定内のケーステンプレートを通じて
![ケース作成ダイアログ] 利用可能なすべてのフィールドを含むケース作成ダイアログのスクリーンショット

2. テンプレートから

ケーステンプレートは、事前定義されたフィールドでケースを作成する標準化された方法を提供します:
  • 利用可能なテンプレートから選択するか、空白のケースから開始
  • テンプレートには事前入力されたフィールドとデフォルト値を含めることができます
  • 組織固有のテンプレートがサポートされています
![ケーステンプレート] ケース作成中のテンプレート選択ダイアログのスクリーンショット

3. アラートから

ケースはセキュリティアラートから自動または手動で作成できます:
  • 単一のアラートをケースに変換
  • 複数のアラートを単一のケースにマージ
  • アラートプロパティ(重要度、TLPなど)を継承

必須フィールド

ケースを作成する際、以下のフィールドは必須です:
  • タイトル: ケースの明確で説明的な名前
  • ステータス: 初期ステータス(デフォルトは「新規」)
  • 重要度: 影響レベル(1-5)
  • TLP: Traffic Light Protocol分類
  • PAP: Permissible Actions Protocolレベル

オプションフィールド

作成時に指定できる追加フィールド:
  • 説明: ケースに関する詳細情報
  • タグ: 分類のためのカスタムラベル
  • 担当者: ケースを担当するチームメンバー
  • カスタムフィールド: 組織固有のデータフィールド
  • 組織: 組織の可視性設定

ケース作成設定

管理者はケース作成のさまざまな側面を設定できます:
  • 新規ケースのデフォルト値
  • 必須およびオプションフィールド
  • 利用可能なテンプレート
  • ケース作成の自動化ルール
  • 組織固有の設定
![ケース設定] ケース作成の管理設定を示すスクリーンショット

ベストプラクティス

  1. タイトル: 重要な情報を含む明確で説明的なタイトルを使用する
  2. テンプレート: 一貫性を確保するために一般的なケースタイプのテンプレートを作成する
  3. 重要度: 重要度の割り当てには組織のガイドラインに従う
  4. TLP/PAP: 情報共有の制限を慎重に検討する
  5. カスタムフィールド: 組織固有のデータを取得するためにカスタムフィールドを使用する

自動化オプション

ケースはさまざまなトリガーを通じて自動的に作成できます:
  • アラートベースのトリガー
  • 統合ウェブフック
  • APIエンドポイント
  • スケジュールされたワークフロー

次のステップ

ケースを作成した後:
  1. 関連するオブザーバブルと成果物を追加する
  2. 初期タスクを作成する
  3. 関連するアラートをリンクする
  4. チームメンバーを割り当てる
  5. 詳細なドキュメントを追加する
作成後のケースの操作の詳細については、ケースの操作を参照してください。