アカウント対応Playbookの作成

手順

1. [Workflow and Automation] → [Security Playbooks] に移動。
2. オンPlaybookタブで、追加 → プレイブックの作成。
3. オン[Playbookの設定]パネルで、[Account risks]と入力し、プレイブックの一意の名前を指定して、[適用] 。
4. [トリガ設定] パネルで、トリガの種類を選択し、 [適用]をクリックします。
   • Manual: Run アイコン ( )
   • Scheduled: Playbookを毎日、毎週、または毎月実行するようにスケジュールできます。
5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
   複数のリスクの種類を軽減する必要がある場合は、ノードの追加 ( ) [トリガ] ノードの右側にあります。各対象のリスクの種類は一意である必要があります。

   重要 [Security Playbooks]がリスクのあるアカウントに対応できるようにするには、Microsoft Entra IDデータおよびActive Directoryデータへのアクセス権限を[Executive Dashboard] → [データソース]で付与してください。

6. 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
   1. [対象] ノードの右側にあるノードの追加 ( ) をクリックし、 [条件]をクリックします。
   2. Parameter、 Operator、および Valueを指定して、条件設定を作成します。
      • IS: いずれかの値が一致した場合に条件がトリガーされます。
      • [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
   3. 複数の条件設定を行う必要がある場合は、 Addをクリックします。
      条件演算子は、論理ANDを使用して評価されます。
   4. [適用] をクリックします。
   5. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 ( ) Target ノードの右側にあります。
   6. Condition ノードの Action を設定する必要がある場合は、ノードの追加 ( ) をクリックします。
      詳細については、「手順」7を参照してください。
   7. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 ( )条件ノード。
      詳細については、「手順」9を参照してください。
7. Action ノードを追加して処理を設定します。
   1. Condition ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
   2. [処理設定] パネルで、 [処理] ドロップダウンリストから [CSVファイルを生成] または [RESPONSE] 処理を選択します。
      [RESPONSE] の処理を設定するには、サポート対象のIAMシステムに次のユーザアクセスポリシーを適用する権限をトレンドマイクロに付与する必要がありIdentity and Access Management。

      • ユーザアカウントを無効化
      • ユーザアカウントを有効化
      • 強制サインアウト
      • パスワードの強制リセット

      警告 [ユーザアカウントの無効化] 処理によって、[Third-Party IntegrationのActive Directory (オンプレミス) 接続設定] で設定されたアカウントが無効化された場合、無効化されたアカウントを復元することはできません。この処理には手動承認を必須にすることを トレンドマイクロ 勧めします。

   3. 一般処理を作成するための手動承認を要求する通知を送信するかどうかを選択し、手動承認が必要な場合は通知設定を行います。

      注意 24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。

      設定	説明
      通知方法	Email: 指定した受信者にメール通知を送信します。 Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス	通知の件名の先頭に表示されるプレフィックス
      受信者	受信者のメールアドレス メールの通知方法を選択した場合にのみ表示されます。
      Webhook	通知を受信するWebhookチャネル このフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。 ヒント 宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。

   4. [適用] をクリックします。
   5. 複数の並列処理を追加する必要がある場合は、ノードの追加 ( ) Target または Condition ノードの右側にあります。
8. 2番目の Action ノードを追加して、通知を設定します。
   1. 最初の Action ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
   2. [処理設定] パネルで、Playbookの結果を受信者に通知する方法を指定します。
   3. メール通知とWebhook通知の場合は、次の設定を行います。

      設定	説明
      件名のプレフィックス	通知の件名の先頭に表示されるプレフィックス
      受信者	受信者のメールアドレス メールの通知方法を選択した場合にのみ表示されます。
      Webhook	通知を受信するWebhookチャネル このフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。 ヒント 宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。

   4. ServiceNowチケット通知の場合は、次の設定を行います。

      設定	説明
      チケットプロファイル	使用するServiceNowチケットプロファイル ヒント 必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。
      チケットプロファイル設定	Playbookのチケットプロファイル設定 チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。 Assignment group: チケットを割り当てるServiceNow割り当てグループ Assigned to: チケットを割り当てるServiceNowユーザ Short description: ServiceNowに表示されるチケットの簡単な説明

   5. プレイブックの結果を送信するために手動承認が必要な場合は、手順に従います。 7.cをクリックして通知設定を行います。

      注意 この設定は、チケット通知処理でのみ使用できます。

   6. [適用] をクリックします。
9. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
   1. ノードの追加 ( ) 条件ノードの下にある Else-If Condition または Else Actionをクリックします。
   2. 次の手順に従って、 [条件] ノードを設定します。6または [処理] ノードを選択するには、次の手順を実行します。7または ステップ8。

   注意 ノードの追加 ( ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。 シリアルモードで設定された複数の Action ノードは、順番に取得されます。

10. Enable コントロールをオンにして、Playbookを有効にします。
11. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。