はじめに
前回はCortex CloudをAWSに接続し、アラートを取得しました。
今回はそのアラートに相当するCaseとIssueのステータスの変更をしてみようと思います。
CaseとIssueについて
Cortex CloudにおけるアラートはIssueと呼ばれ、1つの検知ルールを違反した1リソースに対して、生成されます。CaseはAIと機械学習によって集約・分析・優先順位付けしたIssueのまとまりのことです。CNAPP製品では一般的に大量にアラートが発生し、対処しきれないという課題があり、Cortex CloudではIssueをCaseでまとめて本当に対処しなければならないアラートに集中できる仕組みが用意されています。そのため、Cortex CloudではCaseに対応するのが基本コンセプトとなっています。
ステータスの変更
ここから実際にCaseとIssueのステータス変更を行っていこうと思います。
Caseのアラートステータスの変更
1. 左ペイン 「Cases & Issues」>「Cases」に移動します。
2. ステータスを変更したいCaseを右クリックし「Change Status」にカーソルを合わせると以下画像の様に
「New」「In Progress」「Resolved」の3つが表示されます。
3. 今回は3つのステータスの中の「Resolved」を押下します。
押下すると以下画像の様に遷移します。
Mark This Case As: リストの中から対応するステータスの変更理由を選びます
ケースのリストの説明は以下URLから対応したステータスの変更理由を選択してください
| 解決理由 | 説明 |
| Resolved – True Positive | そのCaseおよびIssueは、Cortex Cloudによって実際の脅威として正確に特定され、正常に処理・解決されました。 ※True PositiveおよびFalse Positiveとして解決されたケースと問題は、Cortex Cloudが将来のCaseとそれに関連する問題を解決済みのCaseと比較することで、お客様の環境における真の脅威を特定するのに役立ちます。そのため、将来のケースの処理とスコアリングは、これらの解決内容に影響を受けます |
| Resolved – False Positive |
そのCaseおよびIssueは、実際の脅威ではありません。 ※CaseをTrue PositiveおよびFalse Positiveとして解決すると、Cortex Cloudは解決済みのCaseと将来のCaseおよび関連Issueを比較し、お客様の環境における真の脅威を特定するのに役立ちます。そのため、将来のCaseの処理とスコアリングは、これらの解決結果に影響を受けます。 |
| Resolved – Security Testing | このCaseおよびIssueは、BAS(Breach and Attack Simulation)、ペネトレーションテスト、レッドチーム活動といった、セキュリティテストやシミュレーション活動に関連しています。 |
| Resolved – Known Issue | そのCaseおよびIssueは既存の問題や、すでに処理されている問題に関連しています。 |
| Resolved – Duplicate Case | そのCaseおよびIssueは別の事件と重複しています。 |
| Resolved – Risk Accepted | このCaseおよびIssueは、既知の緩和策や影響に関連しています。 |
Commnet:コメントを入力
Also mark all issues as resolved: Case内Issuesをすべてresolvedにしたい場合はこれにチェックマークを入れてください。
入力後「Resolve」を押下してステータスの変更は完了です。
Caseのステータスの変更後の確認
変更後赤線のように「Resolved – <選択したケース>」になっていると思います。
今回はSecurity Testingを選択したので「Resolved – Security Testing」になっています。
上記画像の右側の赤線の「Resolved – Security Testing」の右にあるアイコンをクリックすると以下画像の様に遷移し
Resolvedにしたときのコメントが確認/変更できます。
Also mark all issues as resolvedにチェックを入れた場合の確認
Case内IssueがすべてResolvedになっているかを確認します。
※Also mark all issues as resolvedがチェックが入っている状態でResolvedにした場合の確認方法です
1. 左ペイン 「Cases & Issues」>「Cases」> 対象のケースをクリックし「Issues & Insights」に移動します。
2. 確認したいIssueを押下します。
押下すると以下画像の様に開いて、Statusが「Resolved」に変更されていることが確認できます。
Issuesのステータス変更
1. 左ペイン 「Cases & Issues」>「Issues」に移動します。
2. 対象のステータスを変更したいIssueに対して右クリックをします。
同じく「Change Status」>「Resolved」を押下します。
3. 押下するとCaseのステータスの変更と同じ画面が出てきます。
Mark This Case As: リストの中から対応するステータスの変更理由を選びます
ケースのリストの説明は以下URLから対応したステータスの変更理由を選択してください
| 解決理由 | 説明 |
| Resolved – True Positive | そのCaseおよびIssueは、Cortex Cloudによって実際の脅威として正確に特定され、正常に処理・解決されました。 ※True PositiveおよびFalse Positiveとして解決されたケースと問題は、Cortex Cloudが将来のCaseとそれに関連する問題を解決済みのCaseと比較することで、お客様の環境における真の脅威を特定するのに役立ちます。そのため、将来のケースの処理とスコアリングは、これらの解決内容に影響を受けます |
| Resolved – False Positive |
そのCaseおよびIssueは、実際の脅威ではありません。 ※CaseをTrue PositiveおよびFalse Positiveとして解決すると、Cortex Cloudは解決済みのCaseと将来のCaseおよび関連Issueを比較し、お客様の環境における真の脅威を特定するのに役立ちます。そのため、将来のCaseの処理とスコアリングは、これらの解決結果に影響を受けます。 |
| Resolved – Security Testing | このCaseおよびIssueは、BAS(Breach and Attack Simulation)、ペネトレーションテスト、レッドチーム活動といった、セキュリティテストやシミュレーション活動に関連しています。 |
| Resolved – Known Issue | そのCaseおよびIssueは既存の問題や、すでに処理されている問題に関連しています。 |
| Resolved – Duplicate Case | そのCaseおよびIssueは別の事件と重複しています。 |
| Resolved – Risk Accepted | このCaseおよびIssueは、既知の緩和策や影響に関連しています。 |
Commnet:コメントを入力
入力後「Resolve」を押下してステータスの変更は完了です。
Issueのステータス変更後確認
1. 変更したIssueを押下すると以下画像が見れます。
左のStatusが「Resolved」に変更されていることが確認できます。
ResolvedとしたCaseを戻したい
変更後に再度Openにした時もあると思います。
ResolvedとしたCaseを戻す方法をCaseを使用して説明していこうと思います。
※Issueも手順は同様です。
1. 左ペイン 「Cases & Issues」>「Cases」に移動します。
2. 対象のResolvedになったCaseに対して右クリックをし「Change Status」>「New」を押下します。
3. 押下後赤線部分のStatusが「New」に変わっていることがわかります。
これでResolvedとしたCaseを戻すことができました。
おわりに
今回はアラート(Cases & Issues)のステータスを変更してみました。
他にもSeverity(重要度)の変更やCaseやIssueにアサインするユーザーを選択することができます。
当社では、複数クラウド環境の設定状況を自動でチェックし、設定ミスやコンプライアンス違反、異常行動などのリスクを診断するCSPMソリューションを販売しております。
マルチクラウド設定診断サービス with CSPM| SCSK株式会社
ご興味のある方は是非、お気軽にお問い合わせください。