[アラートの概要] タブを確認する

このドキュメントは、ケース内のアラートのトリアージを行うための中央インターフェースである [アラートの概要] タブのリファレンスとして使用します。ケースでアラートを選択すると、[アラートの概要] タブが表示されます。ケースにアラートが 1 つしかない場合は、このタブに直接移動します。

アラートの概要ウィジェット

[アラートの概要] タブには、特定ウィジェットを使用してアラートに関する重要な情報が表示されます。表示される情報はアラートの種類によって異なり、このタブからアクションを直接実行できます。

[周辺のスポット] タブのウィジェット

アラート ビューには、構成されたビューに基づいて次のウィジェットが含まれることがあります。

• アラート テーブル: ケースのアラートの概要を表示します。[詳細を表示] をクリックすると、詳細が表示されます。Google Security Operations のお客様は、[探索] をクリックして [アセット] ページにリダイレクトし、その他の操作を行います。詳細については、調査ビューをご覧ください。 
• カスタム フィールド フォーム: ここで定義したカスタム フィールドに関連情報を入力します。edit [編集] をクリックしてフォームを開きます。
• 保留中のアクション: ハンドブックの実行を継続するためにユーザーの入力を待機しているアクションをすべて表示します。
• クイック アクション: このウィジェットを使用すると、[アラートの概要] タブから事前定義されたアクションをすばやく実行できます。
• JSON の結果: システムで JSON の結果を表示します。
• エンティティのハイライト: アラートに関連付けられているエンティティを表示します。
• Google SecOps をご利用の場合は、[探索] をクリックしてアラートの [アセット] ページにリダイレクトし、その他の操作を行います。表示されるページはエンティティのタイプによって異なります。詳細については、調査ビューをご覧ください。
• アクションを実行する前に詳細な情報を確認する必要がある場合は、エンティティをクリックして エンティティ エクスプローラ ページに移動し、詳細を確認します。
• アクションを実行する前に概要を確認するには、[詳細を表示] をクリックします。エンティティのハイライトを含むサイド ドロワーが開きます。
• エンティティに対して特定のアクションを実行するには、[ 設定 ] [手動による対策] をクリックして、ここから手動による対策を作成します。

• イベント テーブル: すべてのアラート イベントとそのプロパティを表示します。表の行をクリックすると、サイド ドロワーが開き、イベントの詳細が表示されます。
• HTML: プレイブックの結果から関連情報を含む HTML コードを表示します。
• 自由形式のテキスト: 管理者が定義した情報を表示します。
• キー値: さまざまなソースから特定の詳細情報を表示します。たとえば、

  Key-Product Value- [Alert.Product]

• エンティティ グラフ: グラフとその他のケース エンティティの詳細を表示します。エンティティをクリックすると、サイドドロワーが開きます。
• 複合検出: SIEM と SOAR の両方を使用する Google SecOps のお客様のみが利用できます。このウィジェットは、ケース内のアラートのコンポーネントを理解するのに役立ちます。複合アラート（チェーン化されたルールによって生成される）の場合、ウィジェットには、貢献した検出とアラート、およびそれらの詳細な統合データモデル（UDM）イベントが表示されます。単一の非複合アラートの場合は、そのアラートに関連付けられている特定の UDM イベントが表示されます。これにより、アラートの構造とその原因を調べることができます。

[アラートの概要] タブに表示される内容は、さまざまな要因によって異なります。

• アラートにプレイブックが関連付けられていない場合、デフォルトの表示は管理者が SOAR 設定で定義します。詳細については、デフォルトのアラート ビューを定義するをご覧ください。
• プレイブックが存在するが、カスタマイズされたビューに自分のロールが含まれていない場合は、デフォルトの表示が表示されます。
• 添付されたハンドブックにロール固有のビューがある場合は、カスタマイズされたビューが表示されます。詳細については、Playbook Designer からカスタマイズされたアラートビューを定義するをご覧ください。