2.2.22. INCIDENT REPORTS

セキュリティインシデントレポートは、デバイスで検知した脅威のログを自動的に分析し、自動的に作成するレポートです。

セキュリティインシデントレポートは、INCIDENT REPORTS ポートレットにアップロードされます。

お客さまは、セキュリティインシデントレポートがアップロードされたことの通知を、メールで受け取ることができます。

2.2.22.1. INCIDENT REPORTS サマリー表示

INCIDENT REPORTS のサマリー表示では、最新5件のステータスと件名を確認できます。

赤枠のボタンを押すと最新のチケットを再読込みします。

2.2.22.2. INCIDENT REPORTS 詳細画面

INCIDENT REPORTS の詳細画面では、セキュリティインシデントレポートの閲覧やダウンロードなどができます。

番号	項目	概要
1	（フィルターと検索）	IDやステータスでフィルターしたり検索したりできます。
2	（ナビゲーション）	1ページに15件表示されます。15件以上のときにページナビゲーションボタンが表示されます。
3	Status	ステータスとしてOpenまたはClosedを表示します。
4	Subject	件名を表示します。
5	ID	自動的に付与されるIDを表示します。
6	拡大鏡（閲覧）ボタン	内容を表示します。
7	Creation date	アップロードされた日時を表示します。

2.2.22.3. INCIDENT REPORTS 表示

INCIDENT REPORTS 表示は ユーザーのアクセス権限により操作方法が異なります。

アクセス権限別に説明を記載します。

■ フルアクセス権限の場合

IAMロールが フルアクセス(IAMロールの Verb で「＊」もしくは「PUT/POST/PATCH/DELETE」を許可している) 権限の場合

注釈

• ユーザーごとのAPI実行権限の設定については こちら を参照ください。

セキュリティインシデントレポートを確認するには、INCIDENT REPORTSの詳細画面で対象の拡大鏡（閲覧）ボタンをクリックします。

セキュリティインシデントレポートのPDFファイルが添付されています。

レポートの内容については、セキュリティインシデントレポート サンプル を参照してください。

注釈

この画面から問合せすることはできません。 チケットシステムを利用してお問い合わせください。

■ 読み取り専用権限の場合

IAMロールが 読み取り専用(IAMの Verb で「GET」のみを許可している) 権限の場合

注釈

• ユーザーごとのAPI実行権限の設定については こちら を参照ください。

RO（ReadOnly）画面のインシデントレポート取得方法について説明します。

• RO画面とは、IAMロールが読み取り専用ユーザー(ReadOnlyUser）の場合にアクセスできる画面です。

セキュリティコントロールパネル(Security Menu)へのアクセス時にIAMロールがGETのみ許可されている場合に表示される Operation(RO)ボタン を押下することで遷移する画面です。

RO画面にて、［Incident Report］タブをクリックします。

[インシデントレポート一覧取得]ボタンをクリックすると、インシデントレポートのチケット一覧が画面上のチケット一覧欄にJSON形式で画面に出力されます。

チケット番号をインシデントレポート一覧欄から確認することができます。

チケット番号をテキストボックスへ入力し、[インシデントレポート詳細取得]ボタンをクリックすると、画面上の取得結果欄に 2.1.22.2. INCIDENT REPORTS 詳細画面 と同様の内容がJSON形式で画面に出力されます。

注釈

• CSVやPDFでの出力はできません。保存される場合には、出力された結果をテキストエディタなどにコピーして保存ください。

• 日時のフィルタリングはできません。チケット一覧にはすべてのチケットが出力されます。

• テキストのみでの表示となるためPDFで出力されるセキュリティインシデントレポートが必要な場合には管理者権限を有するユーザーで こちら の手順を参考にレポートを取得ください。

各項目について説明します。

項目	説明
id	自動的に付与されるIDを表示します。
title	件名を表示します。（ 2.1.22.2. INCIDENT REPORTS 詳細画面 の「Subject」と同じです）
date	アップロードされた日時を表示します。（ 2.1.22.2. INCIDENT REPORTS 詳細画面 の「Creation date」と同じです）
submitter	レポート出力者です「System」が固定で記載されます。（ 2.1.22.2. INCIDENT REPORTS 詳細画面 では表示されません）
priority	脅威の重大度
category	レポートのカテゴリーが記載されます。
status	ステータスとしてOpenまたはClosedを表示します。
comments	脅威の詳細情報をcommentとdateで表示します。
comment	脅威についての説明(発生元IP、シグネチャ情報)が表示されます。
date	脅威の発生日時が表示されます。

2.2.22.4. INCIDENT REPORTS 通知

セキュリティ自動分析の結果、セキュリティインシデントレポートが作成され、INCIDENT REPORTSにアップロードされたとき、登録した宛先メールアドレスに自動通知することができます。

通知先のメールアドレスは「顧客プロファイル」で設定します。

セキュリティインシデントレポート の通知設定 を参照してください。

通知メールのサンプル

Subject （件名）	Attack Notification
From （差出人）	no-reply@jp.ivs.wideanglentt.com
Body （本文）	Dear Customer, This is NTT Communications Group Global Risk Operation Center (GROC). We have detected suspicious behavior(s) in your network and new ticket has been issued with below ticket ID. Ticket ID : [Ticket Number] Also, incident report of the behavior(s) is available in the ticket; please login to customer portal for further detail.

※メールの内容はお客さまへ予告なく変更する場合があります。

注釈

通知メールの注意事項

• 送信元のメールアドレスは no-reply@jp.ivs.wideanglentt.comです。迷惑メール対策などの機能により、個別にメールアドレスやドメインを指定して受信や拒否の設定をしている場合は、受信設定を確認してください。

• 送信元のメールアドレス no-reply@jp.ivs.wideanglentt.com は送信専用のメールアドレスです。このメールに返信することはできません。

2.2.22.5. セキュリティインシデントレポート サンプル

レポート掲載内容

番号	項目	説明
1	Customer	お客様名
2	Device	デバイス名
3	Signature	脅威の名前
4	Severity	脅威の重大度
5	Confidence	検知精度
6	Reference	自動的に付与するID
7	Date and Time	レポート対象の脅威のログを最初に検知した日時と最後に検知した日時
8	Description	脅威についての説明
9	Recommendation/Action	脅威に対して推奨される対策
10	Access Patterns	脅威のアクセス状況を描画
11	WorldMap Patterns	驚異のアクセス状況を世界地図上で描画
12	Details	脅威の詳細情報

目次

• 1. オーダー/Order
  • 1.1. Managed Firewall / Managed UTM Version2
  • 1.2. Managed Firewall / Managed UTM Version3
  • 1.3. Managed WAF Version2
  • 1.4. Managed WAF Version3
• 2. オペレーション/Operation
  • 2.1. Managed Firewall / Managed UTM Version2
  • 2.2. Managed Firewall / Managed UTM Version3
  • 2.3. Managed WAF Version2
  • 2.4. Managed WAF Version3

---

2.2.21. ログ解析

2.2.23. 顧客プロファイル