手動で自動対応Playbookを作成

手順

1. [Workflow and Automation] → [Security Playbooks] に移動。
2. [Playbook] タブで [追加] → [Build manually] の順に選択します。
3. [Playbookの設定] パネルで [XDR検出] タイプを選択し、Playbookの一意の名前を指定して、 [適用]をクリックします。
4. [トリガ設定] パネルで、トリガタイプとして [手動 (Workbenchから実行)] または [自動または手動 (Workbenchから実行)] を選択し、 [適用]をクリックします。
   • [自動または手動 (Workbenchから実行)]: Workbenchアラートにより、Playbookの実行が自動的にトリガーされます。 WorkbenchからPlaybookの実行を手動でトリガーすることもできます。
     [Execute playbook automatically only during specified period]を選択し、自動実行の日付と時間帯を指定します。

     注意 [トリガ設定]で最大10セットの日付と時間帯を指定できます。

   • [手動 (Workbenchから実行)]: WorkbenchからPlaybookの実行を手動でトリガーする必要があります。
   WorkbenchからPlaybookの実行をトリガーする方法の詳細については、すべてのアラートそしてWorkbenchインサイトで相関されたアラートWorkbenchのドキュメントを参照してください。
5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
   1. For Target, select Workbench alert.
   2. Select the Severity level of Workbench alerts that require further investigation.
      • すべて
      • 重大
      • 高
      • メッド
      • 低
   3. If you want playbook actions to trigger only for Workbench alerts associated with specific detection models, select Filter by detection models.
      1. Click Select Models.
      2. Select the detection models by which to filter Workbench alerts.

         重要 The severity of your selected models must match the severity of the target settings, otherwise the playbook might fail to run.

         ヒント You can use both predefined and custom detection models to filter Workbench alerts. Click Custom Models to select custom detection models.

      3. Click Move to Selected Detection Models.
      4. Click Save.
   4. If you want to set conditions based on the risk rating of highlighted objects in the Workbench alert, select Filter by highlighted object risk.
   5. If you want the playbook to open a case for the Workbench alert that meets the conditions, select Open a Workbench case, assign a maximum of 50 owners to the alert, and specify whether to automatically close the case when the playbook executes successfully.

      重要 Creating a case transfers all Workbench notes to the case. New notes can only be added to the case. If you want to sync the case to ServiceNow, refer to step 9 in ServiceNowチケットシステムのTrendAI Vision One™を有効にするためにServiceNow ITSMを構成する. Alerts already associated with a case in Workbench will not trigger a new case creation. Instead, the playbook will update the existing case with the execution status and execution results. The playbook will not assign new owners to the existing case that already has owners.

   6. Click Apply.
6. 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
   1. [対象] ノードの右側にあるノードの追加 ( ) をクリックし、 [条件]をクリックします。
   2. Parameter、 Operator、および Valueを指定して、条件設定を作成します。

      設定	説明
      パラメータ	次のオプションのいずれかをパラメータとして指定してください: アセットグループ アセットの重要度 カスタムタグ [エンドポイント名] [エンドポイントの種類] [注目すべきオブジェクトのリスク] 注意 このオプションは、[対象] ノードで [注目すべきオブジェクトのリスクでフィルタ] を選択した場合にのみ利用できます。 IPアドレス 重要 これは「プレリリース」機能であり、公式リリースとは見なされません。を確認してください。プレリリースに関する免責事項機能を使用する前に [OS]
      オペレータ	IS: いずれかの値が一致した場合に条件がトリガーされます。 [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
      値	パラメータの値を指定してください。 [注目すべきオブジェクトのリスク]の値は以下のように説明されます: [極めて不審]: ハイライトされたオブジェクトが誤検出される可能性は低いです [不審]: ハイライトされたオブジェクトが誤検出される可能性が高くなります [未評価]: [極めて不審] および [不審]以外の解析結果 [IPアドレス]の値に関する情報については、Workbenchアプリのアラート詳細を参照してください。

   3. [適用] をクリックします。
   4. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 ( ) Target ノードの右側にあります。
   5. Condition ノードの Action を設定する必要がある場合は、ノードの追加 ( ) をクリックします。
      詳細については、手順を参照してください。
   6. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 ( )条件ノード。
      詳細については、「手順」9を参照してください。
7. Action ノードを追加して処理を設定します。
   1. Condition ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
   2. On the Action Settings panel, select Workbench alert and configure the automated response actions taken on the highly suspicious, suspicious and/or unrated objects.
      レスポンスアクションを実行するには、サポートサービスを構成する必要があります。詳細については、対応処理を参照してください。

      設定	説明
      一般的な処理	[ブロックリストに追加]: オブジェクトをユーザ定義の不審オブジェクトリストに追加します
      メールアクション	[なし]: メールメッセージに対して処理を実行しません [メッセージを削除]:検出されたメールボックスから対象のメールを削除します [メッセージを隔離]: 対象のメールを隔離フォルダに移動します
      ファイル操作	[ファイルを収集]: ファイルを圧縮し、アーカイブをResponse Managementアプリに送信します [Sandbox Analysisに送信]: ファイルを仮想サンドボックス環境で分析するためにSandbox Analysisアプリに送信します 注意 このアクションにはCreditsとSandbox Analysisアプリの設定が必要です。
      URL アクション	[Sandbox Analysisに送信]: URL を Sandbox Analysis アプリに送信し、仮想サンドボックス環境で分析します 注意 このアクションにはCreditsとSandbox Analysisアプリの設定が必要です。
      プロセスの処理	[プロセスを終了]:エンドポイントで実行中の「未評価」ターゲットプロセスを終了します 重要 これは「プレリリース」機能であり、公式リリースとは見なされません。を確認してください。プレリリースに関する免責事項機能を使用する前に
      ユーザアカウントの操作	[なし]: ユーザアカウントに対してアクションを実行しません [ユーザアカウントを無効化]: ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトします。ユーザは新しいセッションにサインインすることができなくなります。 [強制サインアウト]: ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。ユーザは閉じたセッションにすぐに再サインインしたり、新しいセッションにサインインしたりすることを妨げられません。 [パスワードの強制リセット]: すべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトし、次回のサインイン時に新しいパスワードを作成するように強制します
      コンテナアクション	[なし]: コンテナに対してアクションを実行しません [コンテナを隔離]: 環境からコンテナ内のプロドを隔離することで、不審な挙動の拡散を防ぎます [コンテナを終了]: ポッド内のコンテナの不審な挙動を停止するためにポッドを終了します
      クラウドアカウントの操作	[アクセス権を取り消し]: 潜在的に侵害されたAWSアカウントを持つIAMユーザのアクセス権限を取り消す 重要 このアクションは、[Cloud Response for AWS]機能が有効になっているAWS accountsを接続でのみ利用可能です。
      エンドポイントアクション	エンドポイントを隔離: 対象エンドポイントをネットワークから切断しますが、管理用のTrendAI™サーバ製品との通信は除きます 不正プログラムの検索: ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を管理下のエンドポイントで検索します 重要 このアクションは、TrendAI Vision One™ Endpoint SecurityエージェントとStandard Endpoint Protectionがインストールされているエンドポイントでのみ実行されます。不正プログラムの検索アクションを正常に実行するには、エンドポイントが次の要件を満たしている必要があります。 OS: WindowsまたはmacOSのみ インストールされている最小エージェントバージョン: Windows用14.0.12962およびmacOS用3.5.7812 エンドポイントのステータス: エンドポイントは除外リストに含まれていない管理されたエンドポイントであり、アクティブな検索タスクが進行中であってはなりません。 [リモートカスタムスクリプトを実行]:監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します カスタムスクリプトを実行するには、次の手順を実行します。 ファイルの種類からスクリプトファイルの種類を選択してください。 [ファイルをアップロード]をクリックしてローカルからスクリプトファイルをアップロードします。その後、[ファイル]からスクリプトファイルを選択します。 Bashスクリプト (.sh)の場合は、スクリプトファイルの種類をアップロードする前に、オペレーティングシステムを指定します。 スクリプトに追加の入力が必要な場合は、パラメータを入力します。

   3. 対応処理を作成するための手動承認を要求する通知を送信するかどうかを選択します。

      重要 24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。

   4. 手動承認が必要な場合は、次の設定を行います。

      設定	説明
      通知方法	Email: 指定した受信者にメール通知を送信します。 Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス	通知の件名の先頭に表示されるプレフィックス
      受信者	受信者のメールアドレス メールの通知方法を選択した場合にのみ表示されます。
      Webhook	通知を受信するWebhookチャネル このフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。 ヒント To add a webhook connection, click Create channel.

   5. [適用] をクリックします。
   6. If you need to add more than one parallel action, click on the right of the Target or Condition node.
8. Configure notification settings by adding an Action node.
   1. Click the add node () on the right of the preceding node and click Action.
   2. [処理設定] パネルで、Playbookの結果を受信者に通知する方法を指定します。
   3. メール通知とWebhook通知の場合は、次の設定を行います。

      設定	説明
      件名のプレフィックス	通知の件名の先頭に表示されるプレフィックス
      受信者	受信者のメールアドレス メールの通知方法を選択した場合にのみ表示されます。
      Webhook	通知を受信するWebhookチャネル このフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。 ヒント To add a webhook connection, click Create channel.

   4. ServiceNowチケット通知の場合は、次の設定を行います。
      Sending ticket notifications about playbook execution results does not open a case in TrendAI Vision One™.

      設定	説明
      チケットプロファイル	使用するServiceNowチケットプロファイル ヒント If you need to add a ticket profile, click Create ticket profile.
      チケットプロファイル設定	Playbookのチケットプロファイル設定 チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。 Assignment group: チケットを割り当てるServiceNow割り当てグループ Assigned to: チケットを割り当てるServiceNowユーザ Short description: ServiceNowに表示されるチケットの簡単な説明

   5. プレイブックの結果を送信するために手動承認が必要な場合は、手順に従います。 7.dをクリックして通知設定を行います。

      注意 この設定は、チケット通知処理でのみ使用できます。

   6. [適用] をクリックします。
9. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
   1. [条件]ノードの下にある追加ノード () をクリックし、[Else-If条件]または[Else処理]をクリックします。
   2. 条件ノードを設定するには、ステップ6に従ってください。アクションノードを設定するには、ステップ7またはステップ8に従ってください。
   • Which nodes you can add () varies depending on the preceding node. For example, an Action node can only be possibly followed by another Action node; a Condition node can be followed by an Action node or have an Else-If Condition or Else Action attached to it.
   • 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
   • シリアルモードで設定された複数の Action ノードは、順番に取得されます。
10. Enable コントロールをオンにして、Playbookを有効にします。
11. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。