ビュー:

リスクスコアが50を超えるUser Accountsを自動的に軽減します。

高リスクアカウント対応Playbookを作成して、指定された期間にリスクスコアが50以上を維持しているアカウントに関連するリスクに対処し、軽減します。
重要
重要
自動化された高リスクアカウント対応Playbookを作成するには、Attack Surface Risk Management権限が有効になっていることを確認してください。さらに、Third-Party IntegrationZscaler Internet Access integrationまたはZscaler Private Access integrationを完了するか、次のいずれかの必要なデータソースを構成してください:
  • Microsoft Entra ID
  • Active Directory (オンプレミス)
重要
重要
これは「プレリリース」のサブ機能であり、正式なリリースとしては扱われません。この機能を使用する前に、プレリリース サブ機能に関する免責をご確認ください。

手順

  1. [Workflow and Automation][Security Playbooks] に移動。
  2. オンPlaybookタブで、追加プレイブックの作成
  3. [Playbookの設定] パネルで、[Account risks] タイプを選択し、Playbook の一意の名前を指定して、[適用] をクリックします。
  4. [トリガ設定] パネルで、トリガータイプ [自動] を選択し、[適用] をクリックします。
    リスクスコアが50を超えるユーザーアカウントは、自動的にPlaybookの実行をトリガーします。
  5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
    1. [Risk score exceeds 50] ドロップダウンリストから、リスクスコアが50を超える期間を選択します。
    • [Once]: Playbookは、リスクスコアが一度でも50を超えたアカウントを対象としています。
    • [For past 1 day]: Playbookは、前日にリスクスコアが50以上を維持していたアカウントを対象としています。
    • [For past 2 days]: Playbookは、過去2日間にリスクスコアが50以上を維持しているアカウントを対象としています。
    このPlaybookは1つのリスクタイプのみを軽減します:[User with a persistent high risk score]。ターゲットノードは1つだけ設定できます。
    重要
    重要
    [Security Playbooks] が高リスクスコアのアカウントに対応できるようにするには、Third-Party IntegrationZscaler Internet Access integration を構成するか、[Executive Dashboard][データソース]Microsoft Entra ID データおよび Active Directory データにアクセスする権限を付与します。
  6. 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
    1. [対象] ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 [条件]をクリックします。
    2. ParameterOperator、および Valueを指定して、条件設定を作成します。
      • IS: いずれかの値が一致した場合に条件がトリガーされます。
      • [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
    3. 複数の条件設定を行う必要がある場合は、 Addをクリックします。
      条件演算子は、論理ANDを使用して評価されます。
    4. [適用] をクリックします。
    5. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target ノードの右側にあります。
    6. Condition ノードの Action を設定する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックします。
      詳細については、ステップ 7 を参照してください。
    7. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png )条件ノード。
      詳細については、ステップ 9 を参照してください。
  7. Action ノードを追加して処理を設定します。
    1. Condition ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定] パネルで、[CSVファイルを生成] または [処理] ドロップダウンリストから 対応 アクションを選択します。
      次のアクションを構成するには、対応するユーザアクセスポリシーをサポートされているIdentity and Access Management (IAM)システムで強制する権限をトレンドマイクロに付与する必要があります
      • ユーザアカウントを無効化
      • ユーザアカウントを有効化
      • 強制サインアウト
      • パスワードの強制リセット
      警告
      警告
      ユーザアカウントを無効にするアクションが、Third-Party IntegrationのActive Directory(オンプレミス)接続設定で構成されたアカウントを無効にした場合、無効にされたアカウントを復元することはできません。トレンドマイクロは、このアクションに手動承認を要求することを推奨します。
      次のアクションを構成するには、Third-Party IntegrationZscaler Internet Access integrationまたはZscaler Private Access integrationを構成する必要があります。
      • Zscaler制限付きユーザグループに追加
      注意
      注意
      このアクションは、ユーザアカウントをZscalerインターネットアクセスおよびZscalerプライベートアクセスサービス用に作成されたZscaler制限付きユーザグループに追加し、Zscalerポリシー適用を有効にします。
    3. 一般処理を作成するための手動承認を要求する通知を送信するかどうかを選択し、手動承認が必要な場合は通知設定を行います。
      注意
      注意
      24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。
      設定
      説明
      通知方法
      • Email: 指定した受信者にメール通知を送信します。
      • Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
    4. [適用] をクリックします。
    5. 複数の並列処理を追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target または Condition ノードの右側にあります。
  8. 2番目の Action ノードを追加して、通知を設定します。
    1. 最初の Action ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定] パネルで、Playbookの結果を受信者に通知する方法を指定します。
    3. メール通知とWebhook通知の場合は、次の設定を行います。
      設定
      説明
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
    4. ServiceNowチケット通知の場合は、次の設定を行います。
      設定
      説明
      チケットプロファイル
      使用するServiceNowチケットプロファイル
      ヒント
      ヒント
      必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。
      チケットプロファイル設定
      Playbookのチケットプロファイル設定
      チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。
      • Assignment group: チケットを割り当てるServiceNow割り当てグループ
      • Assigned to: チケットを割り当てるServiceNowユーザ
      • Short description: ServiceNowに表示されるチケットの簡単な説明
    5. 手動承認が必要な場合は、Playbook の結果を送信するために、ステップ 3 に従って通知設定を構成してください。
      注意
      注意
      この設定は、チケット通知処理でのみ使用できます。
    6. [適用] をクリックします。
  9. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
    1. ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) 条件ノードの下にある Else-If Condition または Else Actionをクリックします。
    2. [条件] ノードを設定するには、ステップ 6 に従ってください。または、[処理] ノードを設定するには、ステップ 7 またはステップ 8 に従ってください。
    注意
    注意
    • ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。
    • 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
    • シリアルモードで設定された複数の Action ノードは、順番に取得されます。
  10. Enable コントロールをオンにして、Playbookを有効にします。
  11. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。