自動応答Playbookを作成することで、 Workbenchの重要なアラートに自動的に応答し、対応を迅速化し、影響範囲を最小限に抑えます。
自動応答Playbook(旧称自動対応) を使用すると、WorkbenchアラートSecurity Playbooksアプリ。
検出モデルによって
[極めて不審]オブジェクトまたは
[不審]オブジェクトでアラートがトリガーされると、自動応答Playbookで対応タスクを作成し、その結果をレポートにまとめてセキュリティチームに送信できます。
自動調査と応答システムは、Trend Micro Smart Protection Networkを利用したTrend Micro Threat Intelligenceを利用して、Workbenchのアラートで検出されたファイル、URL、IPアドレス、ドメインなどのハイライトされたオブジェクトを再評価します。この分析では、再評価中に誤検出が発生する可能性を測定します。誤検出の可能性が低い場合、オブジェクトには
[極めて不審]というラベルが付けられます。誤検出の可能性が高い場合、オブジェクトには
[不審]というラベルが付けられます。応答システムはPlaybookを実行し、オブジェクトごとに応答タスクを作成します。 1つのワークベンチアラートに複数の強調表示されたオブジェクトがある場合、同時に実行される可能性のあるオブジェクトごとに、応答システムとプレイブックによって個別の応答タスクが作成されることがあります。
重要自動応答Playbookを作成するには、 XDR Threat Investigationエンタイトルメントを有効にし、次の必須データソースを設定する必要がありますXDR
Endpoint SensorまたはXDR Email Sensor
|
手順
- に移動。
- オンPlaybookタブで、 。
- [Playbookの設定] パネルで [XDR検出] タイプを選択し、Playbookの一意の名前を指定して、 [適用]をクリックします。
- [トリガ設定] パネルで、トリガタイプとして [手動 (Workbenchから実行)] または [自動または手動 (Workbenchから実行)] を選択し、 [適用]をクリックします。
-
[自動または手動 (Workbenchから実行)]: Workbenchアラートにより、Playbookの実行が自動的にトリガーされます。 WorkbenchからPlaybookの実行を手動でトリガーすることもできます。[Execute playbook automatically only during specified period]を選択し、自動実行の日付と時間帯を指定します。
注意
[トリガ設定]で最大10セットの日付と時間帯を指定できます。 -
[手動 (Workbenchから実行)]: WorkbenchからPlaybookの実行を手動でトリガーする必要があります。
WorkbenchからPlaybookの実行をトリガーする方法の詳細については、すべてのアラートそしてアラート (Workbench Insights)Workbenchのドキュメントを参照してください。 -
- [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
- [重大度] ドロップダウンメニューで、さらに調査が必要なWorkbenchアラートの重大度レベルを選択します。
- 特定の検出モデルに関連付けられたWorkbenchアラートに対してのみPlaybookの処理をトリガーする場合は、 [検出モデルによるフィルタ]を選択します。
-
クリックモデルの選択。
-
Workbenchアラートをフィルタする検出モデルを選択します。
重要
選択したモデルの重要度は、対象設定の重要度と一致する必要があります。一致しない場合、Playbookの実行に失敗する可能性があります。ヒント
事前定義された検出モデルとカスタム検出モデルの両方を使用して、 Workbenchアラートをフィルタできます。カスタム検出モデルを選択するには、 [カスタムモデル] をクリックします。 -
[選択した検出モデルに移動]をクリックします。
-
[保存] をクリックします。
-
- Workbenchアラートで注目すべきオブジェクトのリスクレーティングに基づいて条件を設定する場合は、 [注目すべきオブジェクトのリスクでフィルタ]を選択します。
- 条件を満たすWorkbenchアラートのケースをPlaybookで開く場合は、 [Workbenchケースを開く]を選択し、アラートに最大50人の所有者を割り当て、Playbookが正常に実行されたときにケースを自動的にクローズするかどうかを指定します。
注意
この機能は地域によって利用できない場合があります。重要
ケースを作成すると、Workbenchのすべてのメモがケースに転送されます。新しいメモはケースにのみ追加できます。Workbenchですでにケースに関連付けられているアラートでは、新しいケースは作成されません。代わりに、Playbookは実行ステータスと実行結果で既存のケースを更新します。すでに所有者がいる既存のケースに新しい所有者が割り当てられることはありません。 - [適用] をクリックします。
- 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
- [対象] ノードの右側にあるノードの追加 ( ) をクリックし、 [条件]をクリックします。
- Parameter、 Operator、および Valueを指定して、条件設定を作成します。設定説明パラメータ次のオプションのいずれかをパラメータとして指定してください:
-
[エンドポイント名]
-
[エンドポイントの種類]
-
[注目すべきオブジェクトのリスク]
注意
このオプションは、[対象] ノードで [注目すべきオブジェクトのリスクでフィルタ] を選択した場合にのみ利用できます。 -
IPアドレス
重要
これは「プレリリース」のサブ機能であり、正式なリリースとしては扱われません。この機能を使用する前に、プレリリース サブ機能に関する免責をご確認ください。 -
[OS]
-
[OS]
オペレータ-
IS: いずれかの値が一致した場合に条件がトリガーされます。
-
[次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
値パラメータの値を指定してください。[注目すべきオブジェクトのリスク]の値は以下のように説明されます:-
[極めて不審]: ハイライトされたオブジェクトが誤検出される可能性は低いです
-
[不審]: ハイライトされたオブジェクトが誤検出される可能性が高くなります
-
[未評価]: [極めて不審] および [不審]以外の解析結果
[IPアドレス]の値に関する情報については、Workbenchアプリのアラート詳細を参照してください。 -
- [適用] をクリックします。
- 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 ( ) Target ノードの右側にあります。
- Condition ノードの Action を設定する必要がある場合は、ノードの追加 ( ) をクリックします。詳細については、「手順」7を参照してください。
- else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 ( )条件ノード。詳細については、「手順」9を参照してください。
- Action ノードを追加して処理を設定します。
- Condition ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
- [処理設定] パネルで [Workbenchアラート] を選択し、
[極めて不審]
、[不審]
、および/または[未評価]
オブジェクトに対して実行する自動対応処理を設定します。レスポンスアクションを実行するには、サポートサービスを構成する必要があります。詳細については、対応処理を参照してください。設定説明一般的な処理-
[ブロックリストに追加]: オブジェクトをユーザ指定の不審オブジェクトリストに追加します
メールアクション-
[なし]: メールメッセージに対して処理を実行しません
-
[メッセージを削除]:検出されたメールボックスから対象のメールを削除します
-
[メッセージを隔離]: 対象のメールを隔離フォルダに移動します
ファイル操作-
[ファイルを収集]: ファイルを圧縮し、アーカイブをResponse Managementアプリに送信します
-
[Sandbox Analysisに送信]: ファイルを仮想サンドボックス環境で分析するためにSandbox Analysisアプリに送信します
注意
この処理を実行するには、Creditsを割り当て、Sandbox Analysisアプリ。
URL アクション-
[Sandbox Analysisに送信]: URL を Sandbox Analysis アプリに送信し、仮想サンドボックス環境で分析します
注意
この処理を実行するには、Creditsを割り当て、Sandbox Analysisアプリ。
プロセスの処理-
[プロセスを終了]:エンドポイントで実行中の「未評価」ターゲットプロセスを終了します
重要
これは「プレリリース」のサブ機能であり、正式なリリースとしては扱われません。この機能を使用する前に、プレリリース サブ機能に関する免責をご確認ください。
ユーザアカウントの操作-
[なし]: ユーザアカウントに対してアクションを実行しません
-
[ユーザアカウントを無効化]: ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトします。ユーザは新しいセッションにサインインすることができなくなります。
-
[強制サインアウト]: ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。ユーザは閉じたセッションにすぐに再サインインしたり、新しいセッションにサインインしたりすることを妨げられません。
-
[パスワードの強制リセット]: すべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトし、次回のサインイン時に新しいパスワードを作成するように強制します
コンテナアクション-
[なし]: コンテナに対してアクションを実行しません
-
[コンテナを隔離]: 環境からコンテナ内のプロドを隔離することで、不審な挙動の拡散を防ぎます
-
[コンテナを終了]: ポッド内のコンテナの不審な挙動を停止するためにポッドを終了します
クラウドアカウントの操作-
[アクセス権を取り消し]: 潜在的に侵害されたAWSアカウントを持つIAMユーザのアクセス権限を取り消す
重要
このアクションは、[Cloud Response for AWS]機能が有効になっているAWSアカウントでのみ利用可能です。
エンドポイントアクション-
[エンドポイントを隔離]: 管理対象のトレンドマイクロサーバ製品との通信を除き、対象エンドポイントをネットワークから切断します
-
[リモートカスタムスクリプトを実行]:監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行しますカスタムスクリプトを実行するには、次の手順を実行します。
-
[ファイルの種類] ドロップダウンリストからスクリプトファイルの種類を選択します。
-
[ファイルをアップロード]をクリックして、ローカルからスクリプトファイルをアップロードします。次に、 [ファイル] ドロップダウンリストからスクリプトファイルを選択します。
Bashスクリプト (.sh)
の場合は、スクリプトファイルの種類をアップロードする前に、オペレーティングシステムを指定します。 -
スクリプトに追加の入力が必要な場合は、パラメータを入力します。
-
-
- 対応処理を作成するための手動承認を要求する通知を送信するかどうかを選択します。
重要
24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。 - 手動承認が必要な場合は、次の設定を行います。設定説明通知方法
-
Email: 指定した受信者にメール通知を送信します。
-
Webhook: 指定したWebhookチャネルに通知を送信します。
件名のプレフィックス通知の件名の先頭に表示されるプレフィックス受信者受信者のメールアドレスメールの通知方法を選択した場合にのみ表示されます。Webhook通知を受信するWebhookチャネルこのフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。ヒント
宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。 -
- [適用] をクリックします。
- 複数の並列処理を追加する必要がある場合は、ノードの追加 ( ) Target または Condition ノードの右側にあります。
- 2番目の Action ノードを追加して、通知を設定します。
- 最初の Action ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
- [処理設定] パネルで、Playbookの結果を受信者に通知する方法を指定します。
- メール通知とWebhook通知の場合は、次の設定を行います。設定説明件名のプレフィックス通知の件名の先頭に表示されるプレフィックス受信者受信者のメールアドレスメールの通知方法を選択した場合にのみ表示されます。Webhook通知を受信するWebhookチャネルこのフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。
ヒント
宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。 - ServiceNowチケット通知の場合は、次の設定を行います。設定説明チケットプロファイル使用するServiceNowチケットプロファイル
ヒント
必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。チケットプロファイル設定Playbookのチケットプロファイル設定チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。-
Assignment group: チケットを割り当てるServiceNow割り当てグループ
-
Assigned to: チケットを割り当てるServiceNowユーザ
-
Short description: ServiceNowに表示されるチケットの簡単な説明
-
- プレイブックの結果を送信するために手動承認が必要な場合は、手順に従います。 7.dをクリックして通知設定を行います。
注意
この設定は、チケット通知処理でのみ使用できます。 - [適用] をクリックします。
- 必要に応じて、 Else-If Conditions または Else Actions を設定します。
- ノードの追加 ( ) 条件ノードの下にある Else-If Condition または Else Actionをクリックします。
- 次の手順に従って条件ノードを設定します。6を実行するか、次の手順に従って処理ノードを設定します。7または ステップ8。
注意
-
ノードの追加 ( ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。
-
条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
-
シリアルモードで設定された複数の Action ノードは、順番に取得されます。
- Enable コントロールをオンにして、Playbookを有効にします。
- [保存] をクリックします。プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。