イベント

Eventsページでは、特定のイベントを検索したり、最も重要なタスクや手動アクションなどを表すイベントをフィルタしたりできます。

これらのSaaSアプリケーションのセキュリティイベントを確認できます。

• Office 365 Mail

• Office 365 OneDrive

• Office 365 SharePoint

• Microsoft Teams

• Gmail

• Google Drive

• Slack

• Citrix ShareFile

• Box

イベント テーブルのカラム

Eventsテーブルには、以下のカラムがあります。

イベント テーブルのカラム名	説明
Date & Time	イベントが生成された時刻です。
State	Pending- 管理者は、イベントを修復するためのアクションを実行するよう求められます。 たとえば、ポリシーがMonitorモードであり、検出されたフィッシングメールがユーザのメールボックス内にある場合です。 Remediated- イベントは、手動で、またはポリシーに基づいて自動的に修復されました。 イベントは、メールの隔離、添付ファイルの削除、または迷惑メール/スパムフォルダへの配信など、多くの方法で修復される場合があります。 Detected- セキュリティイベントは発生しましたが、管理者は手動で修復できません。 たとえば、悪意のあるメールが内部ユーザから外部の受信者に送信された場合です。 Dismissed- イベントは管理者によって手動で却下されました。
Severity	セキュリティイベントの重大度です。 Critical High Medium Low Very Low
SaaS	イベントがトリガされた SaaS アプリケーションです。
Threat Type	DLP マルウェア フィッシング フィッシングでは、多くの場合、正確なフィッシングカテゴリを確認できます。 異常 フィッシングの疑い マルウェアの疑い シャドーIT スパム アラート - ポリシーと設定に基づき、イベントによって生成されたアラートがすべてのユーザに送信されました。 悪意のある URL をクリック 悪意のある URL に進む
Details	イベントに関する情報です。
User	イベントに関与したユーザです。 例: フィッシングイベントの場合、このカラムには送信者と受信者が表示されます。 侵害されたアカウント（異常）イベントの場合、このカラムには侵害されたユーザが表示されます。
Action Taken	イベントを修復するために実行されたアクションです。
Remediated By	イベントを修復したシステムまたは管理者です。 Check Point- Email Security が、ポリシーに基づいて自動的に修復アクションを実行しました。 Microsoft- Microsoft が自動的に修復アクションを実行しました。 管理者 - 管理者がイベントに対して手動で修復を実行しました。 たとえば、管理者は配信後にメールを隔離しました。 Check Point analyst-Check Point の アナリストがエンドユーザからのリクエストとレポートを確認しました。これは、Incident Response as a service アドオンを購入した顧客にのみ関連します。
注	セキュリティイベントに関連付けられた注を表示します。参照: セキュリティイベントへの注の追加.

イベントのフィルタリング

イベントのリストをフィルタするには、次のいずれかを実行します:

• テーブル上部のグラフ内で、該当するセクションをクリックします。

• すべてのフィールドを対象にした文字列のフリーテキスト検索を含む、各種フィールド用の組み込みフィルタを使用します。

• 新しいフィルタを追加するには、Add Filter をクリックし、必要なフィルタを選択します。

フィルタをクリアするには、Clear Filters をクリックします。

イベントに対するアクションの実行

管理者は、さまざまなイベントタイプに対してアクションを実行できます。たとえば、イベントがユーザのメールボックスに届いたフィッシングメールに関するものである場合、管理者はそのメールを隔離できます。

単一のイベントに対してアクションを実行するには、テーブルの最後のカラムでそのイベントの アイコンをクリックし、必要なアクションを選択します。

複数のイベントに対してアクションを実行するには、該当するイベントを選択し、Groups Actions をクリックして必要なアクションを選択します。

イベントの却下

管理者が、オープンイベントのリストからイベントを削除する必要がある場合があります。

その場合は、次のいずれかを実行します:

• 単一のイベントを却下するには、テーブルの最後のカラムでそのイベントの アイコンをクリックし、Dismiss を選択します。

• 複数のイベントを却下するには、該当するイベントを選択し、Groups Actions をクリックして Dismiss を選択します。

却下されたイベントは、Security Checkup レポートに表示されます。

却下されたイベントを表示するには、フィルタの下で、Dismissed フィールドから State を選択します。

ビューの管理

メールセキュリティに関連する責任を持つ部門は、異なるチームと異なるロールで構成されており、それぞれが異なる種類のセキュリティイベントに関心を持つことがよくあります。

管理者は、関連するイベントをフィルタするために、Events 画面のフィルタを組み合わせた複数のビューを作成できます。各管理者は、デフォルトで表示する別々のビューを設定できます。

新しいビューを追加するには:

1. Eventsに移動します。

2. フィルタを使用して、関連するイベントをフィルタする条件を設定します。

3. Save as 画面の左上にある Events をクリックします。

4. 表示された Save View ウィンドウで、必要な View Name を入力します。

5. ここをSave.

注 - 管理者がビューを追加（または削除）すると、すべての管理者に対して追加（または削除）されます。

保存されたビューを選択するには:

1. Eventsに移動します。

2. Saved viewsをEvents画面の右上側でクリックします。

3. 表示されるSaved Viewsウィンドウで、必要なビューを選択します。

4. ここをClose.

注:

• ビューを編集するには、ビューを選択し、必要なフィルターを変更して、Save画面の左上側にあるEventsをクリックします。

• 保存後、ビューはすべての管理者に対して更新されます。

デフォルトビューを設定するには:

1. Saved viewsをEvents画面の右上側でクリックします。

2. 表示されるSaved Viewsウィンドウで、該当するビューの横にあるスターアイコンをクリックします。

3. ここをClose.

注 - 選択したデフォルトビューは、それを設定した管理者にのみ適用されます。各管理者は異なるデフォルトビューを選択できます。

セキュリティイベントへの注の追加

セキュリティイベントに注を追加するには:

1. Eventsに移動します。

2. Eventsテーブルで、注を追加するイベントのタブの横にあるNotesアイコンをクリックします。

3. Add Notesをクリックします。

4. Security events noteポップアップで、必要な詳細を入力します。

   

5. Saveをクリックします。