Skip to main content

インシデントの表示(Northstar)

インシデントは、調査が必要な重大なセキュリティの問題を表します。Contrastでは、少なくとも1つの悪用された攻撃イベントまたは疑わしい攻撃イベントが観測され、スコア(CVSS v4に基づく)が7を超えると、自動的にインシデントが作成されます。

手順

  1. インシデントの一覧を表示するには、左側のナビゲーションからインシデントを選択します。

    一覧には、各インシデントについて次の詳細が表示されます。

    • 深刻度:Contrastでインシデントに割り当てられた深刻度。

    • Contrastスコア:Contrastスコアは、特定の時点における課題またはインシデントのリスクを表します。このスコアの決定には、Contrast SAST、IAST、SCA、ADR、およびオブザーバビリティのテクノロジからの情報を利用しています。

      スコアの算出には、主に共通脆弱性評価システムバージョン4(CVSS 4)を使用しています。

    • インシデント:インシデントの種類(SQLインジェクションなど)。

    • インシデントID:Contrastでインシデントに割り当てられた識別子。形式は以下の通りです。

      INC-<year>-<numberOfIncidents>

      例えば、INC-2025-33は、2025年に発生し、Contrast で報告された33件目のインシデントを表します。

    • ステータス:インシデントのステータス(オープンまたはクローズ)。

    • 関連するアプリケーション:インシデントの影響を受けるアプリケーション。

    • 担当:インシデントの調査に割り当てられたユーザ。

    • 作成日時:Contrastでインシデントが作成された時間。

    • 最終更新日:最後に更新された時間。

  2. インシデントの詳細を表示するには、インシデントを選択します。 概要タブに、次の詳細が表示されます。

    • 基本情報

      • インシデントID:Contrastでインシデントに割り当てられた識別子。

      • ソースIP:攻撃イベントの発生元であるIPアドレス。

      • 深刻度:Contrastでインシデントに割り当てられた深刻度。

      • ステータス:インシデントのステータス(オープンまたはクローズ)。

      • 作成日時:Contrastでインシデントが作成された日時。

      • 担当:インシデントの調査と修復を担当するユーザ。

      • ルール:インシデントのトリガーとなったルール。

      • MITRE:課題に関連するMITRE ATT&CK戦術へのリンク。

        MITRE ATT&CKフレームワークは、実世界で観測された攻撃者の戦術や手法をまとめたナレッジベースです。

        単一の攻撃イベントが複数の戦術にマッピングされることがあります。多段階の攻撃イベントが発生した場合、観測されたイベントは、より大規模な攻撃連鎖内の単一のアクションを表している可能性があります。あるいは、脅威ベクトルを示している可能性もあります。

        イベントデータを、WAF(Webアプリケーションファイアウォール)やEDR(エンドポイントにおける検知と対応)ソリューションなど、他のセキュリティツールからのセキュリティ情報と組み合わせることで、戦術をより正確に特定することができます。この精緻化により、攻撃の全容を把握することができます。

        イベントをATT&CK戦術にマッピングすることは、リスク評価において非常に重要です。これにより、リスクの高い領域を特定し、新しい検知方法の開発に優先順位を付けることができます。このプロセスは、セキュリティカバレッジの拡大につながります。

        詳細については、 MITRE ATT&CKをご覧ください。

    • サマリー

      • Contrastスコア:Contrastでインシデントに割り当てられたスコア。

      • 何が起こったか:インシデント作成のトリガーとなった観測についての説明。

    • 関連するアセット:インシデントが発生したアプリケーション、サーバ、および環境。

      アプリケーションとその関連エンティティ(サーバ、呼び出しAPI、データベース)の間の関係を表示するには、アプリケーションのリンクを選択してエクスプローラーでビューを開きます。

      環境は、開発、QA、および本番です。

    • 関連する課題:インシデントに関連する全ての課題。

    • 攻撃値:シンクに行くのがContrastで観測された疑わしい値。

    • ベクトル解析:Contrastで観測された、悪意のある攻撃者がシステムにアクセスできるさまざまな経路や方法。

    • コードの場所:Contrastで攻撃イベントが検知されたコードの場所の詳細。これらの詳細には以下が含まれます。

      • ファイル:攻撃イベントに関連するファイル。

      • メソッド:攻撃イベントに関連するメソッド。

      • スタック:攻撃イベントに関連するコードスタック。

  3. インシデントのアクティビティログを表示するには、アクティビティタブを選択します。

    1. Contrastの全てのアクティビティとタスク割り当てに関するアクティビティを表示するには、 全てタブを選択します。

      最新フィルターを使用して、新しい順に順序を変更できます。

    2. コメントを表示するには、コメントタブを選択します。

    3. コメントを追加するには、「コメントを追加」ボックスにコメントを入力し、矢印アイコンを選択します。

ビューを絞り込む

表示を絞り込むには、 フィルタアイコン(icon-filter.svg)を選択してフィルタパネルを開き、1 つ以上のフィルタを選択します。フィルターは以下のとおりです。

  • 深刻度:インシデントの深刻度

  • ステータス:インシデントのステータス

  • 割り当てられたユーザ: インシデントに割り当てられたユーザの名前

関連項目

インシデントにタスクを割り当てる

インシデントをクローズする

このセクションの内容:
Contrastスコア