概要

ケースは、セキュリティインシデント、調査、および関連活動を管理するための中核エンティティです。各ケースは、追跡および解決が必要な個別のセキュリティイベントまたは調査を表します。 ![ケースリストビュー] フィルター、検索、ケースカードを含むメインケースリストビューのスクリーンショット

主な機能

  • ケースライフサイクル管理: 作成から解決までケースを追跡
  • カスタマイズ可能なステータスワークフロー: 組織のプロセスに合わせてケースステータスを設定
  • チームコラボレーション: チームメンバーにケースを割り当て、進捗を追跡
  • 豊富なメタデータ: 重要度、TLP(Traffic Light Protocol)、PAP(Permissible Actions Protocol)を追跡
  • タグシステム: カスタマイズ可能なタグでケースを整理
  • アラートとの統合: 関連するアラートをケースにリンク
  • AI洞察: ケースの自動分析と洞察(有効な場合)
  • 監査証跡: ケースのアクティビティと変更の完全なタイムライン

ケースプロパティ

コアプロパティ

  • ケースID: 一意の識別子(自動生成)
  • タイトル: ケースの説明的な名前
  • 説明: ケースに関する詳細情報
  • ステータス: ワークフロー内の現在の状態(新規、進行中、クローズ)
  • 重要度: 影響レベル(1-5)
  • TLP: Traffic Light Protocol分類
  • PAP: Permissible Actions Protocolレベル
  • タグ: 分類のためのカスタムラベル
  • カスタムフィールド: 組織固有の追加データ

メタデータ

  • 作成者: ケースを作成したユーザー
  • 作成日時: ケース作成のタイムスタンプ
  • 更新日時: 最終変更のタイムスタンプ
  • 担当者: ケースを担当するチームメンバー
  • 組織: 関連する組織(マルチテナント設定の場合)

関連コンポーネント

ケースはいくつかの他のコンポーネントと接続されています:
  • アラート: ケースをトリガーした、または関連するセキュリティアラート
  • オブザーバブル: ケースに関連する成果物とインジケーター
  • タスク: ケース内のアクションアイテムとTo-Do
  • TTP: ケースで特定された戦術、技術、手順
  • タイムライン: ケースアクティビティの時系列記録
  • AI洞察: AI駆動の分析と推奨事項(有効な場合)
![ケース詳細ビュー] すべてのコンポーネントとタブを含むケースの詳細ビューのスクリーンショット

次のセクション