コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=create-cases

ケースの作成

ソフォスでは、最も調査が必要と思われる検出に関するケースを自動的に作成します。

ケースを手動で作成し、自分で調査することもできます。自動的に生成されたケースに既に含まれている場合でも、検出を含めることができます。

ケースは、次のいずれかの方法で作成できます。

ライセンスに応じて、Sophos MDR または Sophos Managed Risk のサービスリクエストを作成することもできます。これらは検出に基づくものではありませんが、お客様はソフォスに調査を提案させたり、支援も求めることができます。MDR サービスのリクエストの作成 または Managed Risk サービスリクエストの作成 を参照してください。

「ケース」ページからケースを作成する

Sophos XDR 検出に基づいてケースを作成できます。Sophos MDR または Managed Risk 検出のケースを作成することはできません。ケースは自己管理になります。

  1. 脅威解析センタ- > ケース」に移動します。

  2. ケース」ページで、右上の「ケースの作成」をクリックします。

    ケース作成ボタン。

  3. 自社による管理ケース」を選択します。

    ケースの種類のセレクタ。

  4. 「ケースの作成」で次の手順を実行します。

    1. ケース名と説明を入力します。
    2. 重要度」を選択します。
    3. ステータス」を選択します (「新規」)。

    4. 担当者」を選択します。これは、ケースを調査する管理者です。

      後で担当者を選択することもできます。

    5. 作成」をクリックします。

    ケースの作成ダイアログ。

    ケースの詳細」ページが表示されます。

  5. 脅威解析センタ- > 検出」に移動します。

  6. 検出」リストで、追加する検出を選択します。

    検出が選択された「検出」ページ。

  7. アクション」をクリックし、「ケースに追加」を選択します。

    「アクション」メニュー。

  8. 新しいケースを選択し、「ケースに追加」をクリックします。

    「ケースに追加」のダイアログ。

    ケースの詳細」ページが表示されます。

調査する準備ができたら、 ケースの調査を参照してください。

検出は、「検出」ページで後でケースにいつでも追加できます。

「検出」ページからケースを作成する

  1. 脅威解析センタ- > 検出」に移動します。

  2. 検出」リストで、調査する検出を選択します。

    検出が選択された「検出」ページ。

  3. アクション」をクリックし、「ケースの作成」を選択します。

    「アクション」メニュー。

  4. 「ケースの作成」で次の手順を実行します。

    1. ケース名と説明を入力します。
    2. 重要度」を選択します。
    3. ステータス」を選択します (「新規」)。

    4. 担当者」を選択します。これは、ケースを調査する管理者です。

      必要に応じて、後で担当者を選択できます。

    5. 作成」をクリックします。

    ケースの作成ダイアログ。

調査する準備ができたら、 ケースの調査を参照してください。

後でケースにさらに検出を追加できます。「検出」リストで、検出を選択し、「アクション」をクリックして「ケースに追加」を選択し、 ケースを選択します。

ケースの調査

ケースの詳細」では、「ノート」タブを使用してケースの調査を記録します。次の手順を実行することをお勧めします。

  • 調査を行うか、クローズする必要があるかを決定します。
  • イベントで使用されている外部接続と内部接続を確認します。
  • 影響を受けたデバイスとユーザーを確認します。
  • 使用されている攻撃戦術と手法を確認します。これらは、検出の詳細で確認できます。
  • 検出にあるピボットオプションを使用して、データに対してクエリを実行するか、サードパーティの脅威解析 Web サイトを参照します。詳細は、クイックアクション、エンリッチ化、クエリーの使用を参照してください。

ケースへの対応

Response Action 機能は、現在、ほとんどのサードパーティ製品統合では使用できません。

検出された問題は、サードパーティ製品を介して解決できます。

この機能を使用するには、 使用するサードパーティ製品との対応アクション統合を設定する必要があります。製品にアクセスし て、製品をクリックします。

この例では、対応アクションを使用して侵害されたユーザーを一時停止する方法を示します。アクションを行うには、以下の手順に従います。

  1. ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。
  2. 対応」タブをクリックします。

  3. 必要なアクションを見つけます。製品の種類の ID をクリックする と、その種類で使用可能なアクションが表示されます。

    ID アクションが表示された「対応」タブ。

  4. ユーザーの一時停止」アクションをクリックします。

  5. アクションの詳細ページで、必要な情報とアクションの理由を入力します。

    ユーザーの一時停止ダイアログ。

  6. 実行」をクリックします

ケースのクローズまたは削除

このオプションは、自社による管理ケースにのみ適用されます。

ケースをクローズするには、状態を「クローズ」に変更します。ケースは 30日間リストに残り、その後削除されます。

パートナースーパー管理者およびエンタープライズスーパー管理者は、ケースをクローズまたは削除できません。

リストからケースを削除する場合は、ケースを選択し、「ケースの削除」をクリックします。

削除するケースが選択されたケースが表示されたケースリスト。

MDR サービスのリクエストの作成

この機能を使用するには、MDR ライセンスが必要です。

MDR サービスリクエストを使用すると、MDR チームに問題を提起できます。リクエストを作成するには、次の手順を実行します。

  1. 脅威解析センタ- > ケース」に移動します。
  2. ケース」ページで、右上の「ケースの作成」をクリックします。
  3. MDR サービスのリクエスト」を選択します。

  4. MDR チームのサービス リクエストの作成」で、次の手順を実行します。

    1. ケース名と説明を入力します。
    2. 作成」をクリックします。

  5. ケースの詳細」ページの「メッセージ」タブでは、MDR チームとメッセージを交換できます。

他のタブに追加したり、編集したりすることはできません。

Managed Risk サービスリクエストの作成

この機能を使用するには、Managed Risk ライセンスが必要です。

Sophos Managed Risk サービスは、すべてのインターネットに接続された資産についてレポートし、指定した資産の脆弱性をスキャンし、リスクを報告し、修復を提案します。

Managed Risk サービスリクエストを使用すると、Managed Risk 設定の変更を要求したり、Managed Risk チームとの会議を設定したりできます。

Managed Risk サービスのリクエストの場合は、次の手順を実行します。

  1. 脅威解析センタ- > ケース」に移動します。
  2. ケース」ページで、右上の「ケースの作成」をクリックします。
  3. Managed Risk サービスのリクエスト」を選択します。

  4. Managed Risk チームのサービス リクエストの作成」で、次の手順を実行します。

    1. ケース名と説明を入力します。
    2. 作成」をクリックします。