SentinelOneのインシデント画面（Analyst Verdict / Incident Status）

SentinelOneのインシデント画面における、Analyst Verdict / Incident Status の活用についてご紹介します。

Analyst Verdict と Incident Status

SentinelOne管理コンソールのインシデント画面内には、
Analyst Verdict と Incident Status という2種類のプルダウン項目があります。

今回は、こちらの活用方法をご紹介します。

１．Analyst Verdict

まず、Analyst Verdict は、管理者がインシデントを最終的にどう判断したかを記録する場所です。

選択できる内容は、下記のとおりです。
・True Positive – 正検知
・Suspicious – 不審
・False Positive – 過検知
・Undefined – 未定義（初期値）

対象のインシデントについて、あとから振り返った時に、その判断が一目でわかります。
利用環境における正検知・過検知の数を把握しやすくなりますし、仮に同じインシデントが発生した場合、調査に時間をかけずに判断することもできます。

２．Incident Status

Incident Status は、インシデント調査状況を記録する場所です。

選択できる内容は、下記のとおりです。
・Unresolved – 未解決（初期値）
・In Progress – 調査進行中
・Resolved – 解決済み

ダッシュボードやインシデント一覧上でフィルタとしても利用できるため、すぐに対応すべき未解決インシデントが一目でわかります。
また、チームでインシデント対応をしている場合は、その進捗状況が把握できます。

共通の留意点

■タグ付け機能であり、Analyst Verdict や Incident Status を変更しても、端末に対してアクションは実行されません。
例えば、
Analyst Verdict：False Positive（過検知）と変更しても、
・隔離されたファイルの解除はおこなわれません。
・除外設定に自動追加はされないので、次回以降の検知が抑制されるものではありません。

Analyst Verdict：True Positive（正検知）と変更しても、
・ブロックリストに自動追加はされません。

※その逆で、
・除外設定の追加を先におこなった場合、Analyst Verdict：False Positive に更新されます。
・ブロックリストの追加を先におこなった場合、Analyst Verdict：True Positive に更新されます。

■Incident Status：解決済みとしたい場合、
1.Analyst Verdict を定義して→ 2.Incident Status を解決済みとして更新する、この順で変更する必要があります。

■Analyst Verdict や Incident Status は、再度変更することも可能です。