• 製品
  • 関連ドキュメント
  • リソース
製品
関連ドキュメント
リソース
アトラシアン サポート
/
セキュリティ ポリシーとアクセス ポリシーのリソース
/
脅威の検出、調査、対応

アラートの調査と対応

Guard Detect は、不審な動作や潜在的に機密性の高いデータが検出されたときにアラートを送信します。 管理者やセキュリティ チームにとっては、この時点から本格的な作業が開始されます。

皆様と皆様のセキュリティ チームがアラートを調査し、その行動が本当に疑わしいかどうかを判断し、必要な是正措置をできるだけ早く講じるのを支援することをアトラシアンでは目指しています。

この操作を実行できるユーザー
ロール: 組織管理者
プラン: Atlassian Guard Premium

アラートを調査する

同じ調査は 2 つとありませんが、すべての調査に共通して実行するであろう手順の概要は次のとおりです。

  • アラートの説明を確認する: 説明は何が起こったのかを大まかにまとめたものです。

  • アクターの詳細を確認する: アクターとは、アカウントを実行した人物またはアカウントです。

  • 推奨される調査手順を確認する: 行動や不審なコンテンツが想定通りであるかどうかを確認するために実行できるアクションが提案されます。 最終的には、警告のコンテキストに応じて、これらの推奨アクションが自社に適しているかどうかをご自身で判断する必要があります。

  • 是正措置を確認する: アクターの一時停止や変更の取り消しなど、一般的な是正措置にすばやくアクセスできます。

  • アラートのステータスを変更して調査結果がわかるようにする

アクターの詳細

名前、役職、所在地、現在の IP アドレスなど、アクターの基本的な情報がすべてのアラートに含まれています。 さらに深く掘り下げると、アクターのアクティビティやプロファイルについて詳しく知ることができます。

アクター アクティビティ

アクター アクティビティ サイドバーには、アラートをトリガーしたイベントがコンテキストで表示されます。 監査ログ イベントと、アクターが現在のアラートの直前または直後に実行したアクションのアラートが表示されます。

これは、他に不審な行動がないかどうかを一目で確認したり、アラートがトリガーされたときにアクターが何をしていたかについての手がかりを得たりするのに役立ちます。

エクスポートされたアラートと、数分前にアラートが非アクティブ化されたデータ セキュリティ ポリシーが表示されているアクター アクティビティ。

この例では、2 つのスペースをエクスポートする前に、管理者が設定したデータ セキュリティ ポリシーをアクターが無効にしたことがわかります。 その警告を調べて、ポリシーによってエクスポートが阻止されたかどうかを確認できます。 アクターの動きの全体像を即座に把握できます。

アクター プロファイル

役職、製品へのアクセス権、役割、セッションとデバイスの情報、所在地、その人物に関連するすべての監査ログ イベントとアラートの検索可能なリストなど、アクターについて把握しているすべての情報がアクター プロファイルに収集されます。

この情報は 1 か所にまとめて表示されるため、いつもとは異なる動きを簡単に見つけることができます。 たとえば、新しいデバイスや所在地からログインがあった場合は、悪意のあるアクターが盗んだ認証情報を使用している可能性があります。

カリフォルニアとポーランドで活発なセッションがあるマップが表示されているアクター プロファイル

監査ログ イベントとアラートの検索可能なリストを使用することで、アナリストはイベントのタイムラインを簡単にまとめ、一つ一つは関係ないものの、点と点をつなぐと疑わしい活動のパターンを特定できます。

アラートと監査ログ イベントがあるアクター プロファイル アクティビティ テーブル

対象の詳細とその他のコンテキスト

アラートには、人物やエンティティ (製品、スペース、管理者設定など) といった、対象に関する情報も含まれます。

多くのアラートでは、製品インスタンス、スペースまたはプロジェクトのタイトル、分類レベルなど、アクティビティの背景がわかる追加情報も表示されます (該当する場合)。

クイック アクション

アラートを調査するときは迅速な行動が不可欠です。 同じ調査が 2 つとないのと同じように、実行できるアクションは組織や脅威の種類によって異なります。

アラートには、調査を進めるうえで指針となる推奨調査手順が複数記載されています。 これらは、ご自身とチームの調査の出発点として非常に役立ちます。

推奨事項や、詳細情報やコンテキストを入手できる、製品やアトラシアンの管理内の場所へのクイック リンクが表示されます。

調査手順

是正措置

ほとんどのアラートには是正措置も含まれています。 これらはチームで迅速に行動できるようにするために用意されています。 すべての是正措置があらゆる状況や会社固有の現状に適しているわけではありませんが、どのような選択肢があるかを確認できるのはアラートを調査するチームにとって有用です。

是正措置は、組織内のすべての製品へのアクターのアクセス停止から、データ セキュリティ ポリシーの適用や製品設定の変更などのより長期的な措置まで多岐にわたります。

是正手順

アクターを停止する

一般的な是正措置はアクターの停止です。 これにより、アトラシアン組織内のすべての製品アクセス権が一時的に削除されます。 この措置は簡単に元に戻すことができるので、調査の早い段階でこれ以上のアクティビティを防止するうえで便利な手順です。

アクターは以下から停止できます。

  • アクター アクティビティ サイドバー

  • アクター プロファイル

改善されたユーザー管理エクスペリエンスを使用している場合はアクターをすぐに停止できます。 改善前のユーザー管理を使用している場合は、アトラシアンの管理が表示されるので、そこでアカウントを無効にすることも、製品へのアクセス権を手動で削除することもできます。

調査のステータスを追跡する

調査中は良好なコミュニケーションが不可欠であり、ほとんどの組織には従うべき手順があります。

手軽なアプローチとして、アラートのステータスを設定することで、アラートが調査中なのかクローズされたかのかをチームで知ることができます。 Jira 課題を作成することで、調査やチームが取る必要のある是正措置を追跡することもできます。 これは、他のチームに引き継ぐ必要がある場合に特に便利です。

アラートのステータスを追跡する方法

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容アラートを調査するアクターの詳細アクター アクティビティアクター プロファイル対象の詳細とその他のコンテキストクイック アクション推奨調査手順是正措置アクターを停止する調査のステータスを追跡する
コミュニティ質問、ディスカッション、記事