• 関連ドキュメント

"製品" を "アプリ" に名称変更します

アトラシアン「製品」は「アプリ」になりました。この用語の変更のロールアウトに伴い、ドキュメント全体で両方の用語が使用されている可能性があります。この変更の理由は次のとおりです

アラートの調査と対応

Guard Detect は、不審な動作や潜在的に機密性の高いデータが検出されたときにアラートを送信します。 管理者やセキュリティ チームにとっては、この時点から本格的な作業が開始されます。

皆様と皆様のセキュリティ チームがアラートを調査し、その行動が本当に疑わしいかどうかを判断し、必要な是正措置をできるだけ早く講じるのを支援することをアトラシアンでは目指しています。

Who can do this?
Role: Organization admin, Guard Detect admin
Atlassian Cloud: Atlassian Guard Premium
Atlassian Government Cloud: Not available

アラートを調査する

同じ調査は 2 つとありませんが、すべての調査に共通して実行するであろう手順の概要は次のとおりです。

  • アラートの説明を確認する: 説明は何が起こったのかを大まかにまとめたものです。

  • アクターの詳細を確認する: アクターとは、アカウントを実行した人物またはアカウントです。

  • 推奨される調査手順を確認する: 挙動や不審なコンテンツが想定通りであるかを確認するためのアクションが提案されます。最終的には、アラートのコンテキストに応じて、これらの推奨アクションが自社に適しているかどうかをご自身で判断する必要があります。

  • 修復オプションを確認する: アクターの一時停止や変更の取り消しなど、一般的な修復アクションにすばやくアクセスできます。

  • アラートのステータスを変更して調査結果がわかるようにする

アクターの詳細

名前、役職、所在地、現在の IP アドレスなど、アクターの基本的な情報がすべてのアラートに含まれています。 さらに深く掘り下げると、アクターのアクティビティやプロファイルについて詳しく知ることができます。

アクター アクティビティ

アクター アクティビティ サイドバーには、アラートをトリガーしたイベントがコンテキストで表示されます。 監査ログ イベントと、アクターが現在のアラートの直前または直後に実行したアクションのアラートが表示されます。

これは、他に不審な行動がないかどうかを一目で確認したり、アラートがトリガーされたときにアクターが何をしていたかについての手がかりを得たりするのに役立ちます。

エクスポートされたアラートと、数分前にアラートが非アクティブ化されたデータ セキュリティ ポリシーが表示されているアクター アクティビティ。

この例では、2 つのスペースをエクスポートする前に、管理者が設定したデータ セキュリティ ポリシーをアクターが無効にしたことがわかります。 その警告を調べて、ポリシーによってエクスポートが阻止されたかどうかを確認できます。 アクターの動きの全体像を即座に把握できます。

アクター プロファイル

The actor profile collects everything we know about the actor, including their job title, app access, roles, session and device information, location, and a searchable list of all audit log events and alerts related to that person.

この情報は 1 か所にまとめて表示されるため、いつもとは異なる動きを簡単に見つけることができます。 たとえば、新しいデバイスや所在地からログインがあった場合は、悪意のあるアクターが盗んだ認証情報を使用している可能性があります。

カリフォルニアとポーランドで活発なセッションがあるマップが表示されているアクター プロファイル

監査ログ イベントとアラートの検索可能なリストを使用することで、アナリストはイベントのタイムラインを簡単にまとめ、一つ一つは関係ないものの、点と点をつなぐと疑わしい活動のパターンを特定できます。

アラートと監査ログ イベントがあるアクター プロファイル アクティビティ テーブル

対象の詳細とその他のコンテキスト

The alert will also include information about the subject, which may be a person or an entity, such as a app, space, or admin configuration.

Many alerts also provide additional information that helps to place the activity in context, such as the app instance, space or project title, and classification level, if relevant.

クイック アクション

アラートを調査するときは迅速な行動が不可欠です。 同じ調査が 2 つとないのと同じように、実行できるアクションは組織や脅威の種類によって異なります。

アラートには、調査を進めるうえで指針となる推奨調査手順が複数記載されています。 これらは、ご自身とチームの調査の出発点として非常に役立ちます。

They provide suggestions and quick links to the places in app and Atlassian Administration where you can get more information and context.

調査手順

是正措置

ほとんどのアラートには是正措置も含まれています。 これらはチームで迅速に行動できるようにするために用意されています。 すべての是正措置があらゆる状況や会社固有の現状に適しているわけではありませんが、どのような選択肢があるかを確認できるのはアラートを調査するチームにとって有用です。

These range from suspending the actor’s access to all apps in your organization, to more long-term actions such as applying a data security policy, or changing the app configuration.

是正手順

アクターを停止する

A common remediation action is to suspend the actor. This temporarily removes all of their app access in your Atlassian organization. Because this action is easily reversed, this can be a useful step to take early in your investigation, to prevent any further activity.

アクターは以下から停止できます。

  • アクター アクティビティ サイドバー

  • アクター プロファイル

If you have the improved user management experience, you can suspend the actor immediately. If you have the original user management, we’ll take you to Atlassian Administration where you can either deactivate their account, or manually remove app access.

調査のステータスを追跡する

調査中は良好なコミュニケーションが不可欠であり、ほとんどの組織には従うべき手順があります。

手軽なアプローチとして、アラートのステータスを設定することで、アラートが調査中なのかクローズされたかのかをチームで知ることができます。 Jira 課題を作成することで、調査やチームが取る必要のある是正措置を追跡することもできます。 これは、他のチームに引き継ぐ必要がある場合に特に便利です。

アラートのステータスを追跡する方法

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容アラートを調査するアクターの詳細アクター アクティビティアクター プロファイル対象の詳細とその他のコンテキストクイック アクション推奨調査手順是正措置アクターを停止する調査のステータスを追跡する
コミュニティ質問、ディスカッション、記事