Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
ケース管理
ケース管理
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

ケース管理

ケース管理の概要

Global Controller のケース管理における考慮事項

ケース バーの表示/非表示

ケース バーの非表示

ケース バーの表示

新しいケースの作成

現在のケースの編集および変更

現在のケースの選択解除

ケースへのデータの追加

ケース レポートの生成および電子メールでの送信

ケース管理の概要

ケース管理機能を使用すると、ユーザが選択した MARS データをケースという専用レポートに取り込んで、結合、保護できます。ケースに追加できるデータは、次のとおりです。

テキスト注釈

[Incident ID] ページ

インシデント デバイス情報(送信元 IP アドレス、宛先 IP アドレス、レポート デバイス)

[Session Information] ページ

[Query Results] ページ

[Build Report] ページ

[Report Results] ページ

[View Case] ページ(現在のケースから別のケースを参照できる)

すべてのユーザが、すべてのケースを作成または変更できます。同じマシン上の MARS ユーザにケースを割り当てたり、ケースのステータスを [assigned](割り当て済み)、[resolved](解決済み)、[closed](終了済み)に変更できます。ケースの内容は単一の GUI(グラフィカル ユーザ インターフェイス)ページ([View Case])にカテゴリ別に表示され、自動的にアセンブルされて、単一の HTML ケース ドキュメントが生成されます。ケース ドキュメントは、任意の MARS ユーザ アカウントまたは MARS ユーザ グループに電子メールで送信できます。


) ケースが終了済みの場合にも、ケースの電子メール送信、ケースの注釈入力、デバイス情報の追加、および別のケースへの参照の追加を行えます。


インシデント、セッション、クエリー、レポート、および軽減ログで収集されたケース情報は、次の項目に関する法的根拠となります。

監査(適合規格監査など)

Access Control List(ACL; アクセス制御リスト)やポリシー変更の正当化

MARS フォールス ポジティブの調整に関する注意事項

許可および禁止する動作例

ケースは選択されたデータをケースに追加された時点の状態で保護し、表示します。後で行われた MARS の状態の変更は関係しません。たとえば、MARS データを消去したり、自動検出または脆弱性スキャニングによってトポロジが変更されたり、規則またはレポートの編集時に設定全体を変更したりしても、ケースで報告されたデータは取り込まれた時点と同じ状態のまま維持されます。


) MARS ソフトウェア バージョン 4.1.1 では、ケース管理機能がインシデント エスカレーション機能の代わりに採用されました。


ケース管理のホームページは、[Incidents] タブの [Cases] サブタブです(「ケース レポートの生成および電子メールでの送信」 を参照)。

図 10-1 [Case Management] タブ:Local Controller

 

1

ケース バー

2

ドロップダウン表示フィルタ

3

個別のケース

新しいケース、割り当て済みケース、解決済みケース、終了済みケースにはすべて、[Cases] サブタブからアクセスできます。

ケースの内容を表示するには、ケースのケース ID 番号をクリックします。[View Case] ページが表示されます(「ケース レポートの生成および電子メールでの送信」 を参照)。

電子メールで送信可能な、[View Case] ページの内容を示す HTML ドキュメントを生成するには、[View Case] ページの下部にある [View Case Document] をクリックします。レポートに基づいて描画された図やチャートも、ケース ドキュメントに取り込まれます。

図 10-2 [View Case] ページ:Local Controller

 

1

ケース バー:現在のケースを識別します。

2

ケース ID の表示:ケースの属性を表示します。

3

ケース履歴:ケースに対するすべての変更を記録します。

4

ケースに追加されたデータのサマリー

Global Controller のケース管理における考慮事項

Global Controller のケース管理は、Local Controller で実行する場合と、次の点で異なります。

Global Controller ではケースは作成されません。ケースを表示したり、変更することはできます。

Global Controller ではケース バーが表示されません。すべてのケースを選択するには、[Incident] -> [Cases] ページから実行します。

[Cases] ページには、Local Controller ごとにケースを表示するための追加のドロップダウン フィルタも用意されています。

ケース バーの表示/非表示

ケース バーはデフォルトで表示されます。表示位置は、各ページの一番上です。ケースを作成または変更する場合は、ケース バーを表示する必要があります。

ここでは、次の内容について説明します。

「ケース バーの非表示」

「ケース バーの表示」

ケース バーの非表示

ケース バーを非表示にする手順は、次のとおりです。


ステップ 1 [Cases] サブタブ([Incidents] > [Cases])にナビゲートします(図 10-3 を参照)。

図 10-3 [Incidents] ページに表示されたケース バー

 

ステップ 2 [Hide Case Bar] をクリックします。

すべてのタブにケース バーが表示されなくなります(図 10-4 を参照)。

図 10-4 [Incidents] ページのケース バーを非表示にした場合

 


 

ケース バーの表示

ケース バーを表示する手順は、次のとおりです。


ステップ 1 [Cases] サブタブ([Incidents] > [Cases])にナビゲートします(図 10-4 を参照)。

ステップ 2 [Show Case Bar] をクリックします。

ケース バー(図 10-3)がすべてのページに表示されます。


 

新しいケースの作成

新しいケースを作成する手順は、次のとおりです。


ステップ 1 「ケース バーの表示/非表示」の説明に従って、ケース バーを表示します。

ステップ 2 [New Case] をクリックします。

[Add a New Case] ダイアログボックスが表示されます(図 10-5 を参照)。

図 10-5 [Add a New Case] ダイアログボックス

 

ステップ 3 重大度を示すカラーを選択します。必要に応じてステータスを [new] から [assigned] に変更します。所有者を選択して、デフォルトのサマリー名(New Case)を置き換えます。

図 10-5 に、管理者に割り当てられた、プライオリティ カラーがイエローの(デフォルトはグリーン)、Example_Case というケース サマリーのケースを示します。

ステップ 4 テキスト スペースに注釈を入力するか、または貼り付けます。

ステップ 5 [Create New Case] をクリックします。

新規に作成されたケースに番号が設定され、ケース バーに現在のケースとして表示されます(図 10-6 を参照)。

図 10-6 現在のケースとしてケース バーに表示された新規作成ケース

 

「ケースへのデータの追加」に進んで、1 つのケースに複数のデータを統合する手順を参照してください。


 

現在のケースの編集および変更

現在のケースを編集する手順は、次のとおりです。


ステップ 1 ケース バーを表示して、[More] をクリックします。

ケース バーが展開され、編集オプションが表示されます(図 10-7 を参照)。ケース バーを表示する手順については、「ケース バーの表示/非表示」を参照してください。

図 10-7 ケース バーの展開

 

ステップ 2 ケースの重大度、ステータス、所有者、またはサマリーを必要に応じて変更します。

ステップ 3 必要に応じて、テキスト ボックスに注釈を追加します。

ステップ 4 [Submit] をクリックします。


 

現在のケースの選択解除

現在のケースを別のものと置き換える手順は、次のとおりです。


ステップ 1 前述の説明に従って、ケース バーを展開します。

ステップ 2 [Deselect] をクリックします。

ケース バーのドロップダウン リストに [No Case Selected...] と表示されます(図 10-4 を参照)。

ステップ 3 現在のケースとして別のものを選択するには、ケース バーのドロップダウン リストでケースを選択します。


 

ケースへのデータの追加

ケースにデータを追加する手順は、次のとおりです。


ステップ 1 現在のケースを選択します。現在のケースを選択する手順については、「現在のケースの編集および変更」を参照してください。

ステップ 2 ケースに取り込むページにナビゲートします。この例では、[Query] ページが選択されます。

ステップ 3 ケース バーで [Add this...] をクリックします。

図 10-8 ケース バーの [Add] ボタン

 

ステップ 4 選択したデータがケースに追加されたことを確認するには、ケース バー内のケース ID 番号をクリックして、[View Case] ページを表示します。

図 10-8 の例では、選択したレポートが [View Case] ページの [Reports] セクションに表示されます。図 10-2 に、[View Case] ページの一部を示しています。


 

ケース レポートの生成および電子メールでの送信

ケース データのケース レポートを生成し、そのレポートを任意の MARS ユーザ グループまたは個別のユーザ アカウントに電子メールで送信できます。電子メール イベントは [View Case] ページに表示されたケース履歴に記録されます。

新しいユーザ アカウントまたはユーザ グループを追加するには、「ユーザの作成:ロール、ID、パスワード、および通知情報」を参照してください。


) MARS の電子メール サーバが設定済みであることを確認してください。詳細については、「電子メール サーバの設定」を参照してください。


ケース レポートを生成して電子メールで送信する手順は、次のとおりです。


ステップ 1 [Cases] ページまたはケース バーのドロップダウン リストでケースを選択します。

ステップ 2 ケース ID 番号をクリックして、[View Case] ページにナビゲートします。

ステップ 3 項目の [Include] フィールドのチェックボックスをクリックして、ケース ドキュメントに含める項目を選択または選択解除します。デフォルトでは、すべての項目が選択されます。


ヒント そのケース ドキュメントにおいて選択した項目だけを表示するには、[Show Include] をクリックします。ただし、Cisco Security MARS バージョン 4.1.1 で作成されたケースでは、[Show Include] は機能しません。


ステップ 4 [View Case] ページの下部にある [View Case Document] をクリックします。

MARS によってケース レポートが生成され、表示されます。

ステップ 5 レポート ページの下部にある [Email Case] をクリックします。

ケースの [Email] ダイアログボックスが表示されます(図 10-9 を参照)。

図 10-9 ケース管理の [Email] ダイアログボックス

 

ステップ 6 ケース ドキュメントを受信するユーザ グループまたは個別のユーザのチェックボックスをクリックし、[<< Add] をクリックします。


ヒント 個別のユーザ アカウントをすべて表示するには、ドロップダウン メニューから [All Users] を選択します。


ダイアログボックスの左側の領域に、選択した受信者が表示されます。

ステップ 7 [Submit] をクリックして、ケース ドキュメントを受信者に送信します。

電子メールが送信されてケース履歴が更新され、ケース履歴の最新項目として電子メール イベントが表示されます。