ビュー:

対象のエンドポイントでカスタムスクリプトを手動または定期的に実行するか、ネットワークにセキュリティリスクをもたらす可能性のあるエンドポイントを隔離します。

調査中に侵害されたエンドポイントに対して予防措置を講じるためのエンドポイント対応Playbookを作成します。
重要
重要
XDR Threat Investigation の権利が有効になっており、次の必要なデータソースが構成されている必要があります: XDR Endpoint Sensor を使用して Endpoint Response Playbook を作成します

手順

  1. [Workflow and Automation][Security Playbooks] に移動。
  2. オンPlaybookタブで、追加プレイブックの作成
  3. [Playbookの設定] パネルで [一般] タイプを選択し、Playbookの一意の名前を指定して、 [適用]をクリックします。
  4. [トリガ設定] パネルで、トリガの種類を選択し、 [適用]をクリックします。
    • Manual: Run アイコン (run=fddd0df8-993a-4aa5-b09c-51ad84aec2a4.png )
    • Scheduled: Playbookを毎日、毎週、または毎月実行するようにスケジュールできます。
  5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
    1. Playbookをエンドポイントで [エンドポイント名] または [IPアドレス]のいずれで実行するかを選択します。
    2. 対象エンドポイントのエンドポイント名またはIPアドレス/IP範囲を指定します。
      • [エンドポイント名]を使用してエンドポイントでPlaybookを実行するには、 [エンドポイント名] テキストボックスにエンドポイント名を指定するか、最大256個のエンドポイント名を含むCSVファイルをアップロードします。
      • [IPアドレス]を使用してエンドポイントでPlaybookを実行するには、 [IPアドレス] テキストボックスにIPアドレスまたはIP範囲を指定するか、最大256個のIPアドレスまたはIP範囲を含むCSVファイルをアップロードします。
        最大10個のIP範囲を使用できます。 IP範囲の例を次に示します。
        • 10.1.0.*
        • 192.168.1.0/24
        • 192.168.1.10–192.168.1.20
        CIDR表記では、プレフィックスの長さの範囲は16~32です。開始IP~終了IP形式を使用する場合、最初の2つのオクテット (ネットワーク部分を表す) は、範囲内のすべてのIPアドレスで同じである必要があります。
    3. [OS] および [エンドポイントの種類]を指定します。
  6. 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
    1. [対象] ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 [条件]をクリックします。
    2. ParameterOperator、および Valueを指定して、条件設定を作成します。
      設定
      説明
      パラメータ
      パラメータとして [IPアドレス][エンドポイント名][OS]、または [エンドポイントの種類] を指定します。
      オペレータ
      • IS: いずれかの値が一致した場合に条件がトリガーされます。
      • [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
      パラメータ値を指定します。
    3. 複数の条件設定を行う必要がある場合は、 Addをクリックします。
      条件演算子は、論理ANDを使用して評価されます。
    4. [適用] をクリックします。
    5. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target ノードの右側にあります。
    6. Condition ノードの Action を設定する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックします。
      詳細については、「手順」を参照してください。7
    7. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png )条件ノード。
      詳細については、「手順」を参照してください。9
  7. Action ノードを追加して処理を設定します。
    1. Condition ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定] パネルで、 [処理] ドロップダウンリストから [エンドポイントを隔離] または [カスタムスクリプトを実行] を選択します。
    3. [カスタムスクリプトを実行]で、[ファイルの種類] ドロップダウンリストからスクリプトファイルの種類を選択します。
    4. [ファイルをアップロード]をクリックして、ローカルからスクリプトファイルをアップロードします。次に、 [ファイル] ドロップダウンリストからスクリプトファイルを選択します。
      Bashスクリプト (.sh)スクリプトファイルの種類をアップロードする前に、オペレーティングシステムを指定します。
    5. スクリプトに追加の入力が必要な場合は、パラメータを入力します。
    6. 対応処理を作成するための手動承認を要求する通知を送信するかどうかを選択します。
      重要
      重要
      24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。
    7. 手動承認が必要な場合は、次の設定を行います。
      設定
      説明
      通知方法
      • Email: 指定した受信者にメール通知を送信します。
      • Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
    8. [適用] をクリックします。
    9. 複数の並列処理を追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target または Condition ノードの右側にあります。
  8. 2番目の Action ノードを追加して、通知を設定します。
    1. 最初の Action ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定] パネルで、Playbookの結果を受信者に通知する方法を指定します。
    3. メール通知とWebhook通知の場合は、次の設定を行います。
      設定
      説明
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
    4. ServiceNowチケット通知の場合は、次の設定を行います。
      設定
      説明
      チケットプロファイル
      使用するServiceNowチケットプロファイル
      ヒント
      ヒント
      必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。
      チケットプロファイル設定
      Playbookのチケットプロファイル設定
      チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。
      • Assignment group: チケットを割り当てるServiceNow割り当てグループ
      • Assigned to: チケットを割り当てるServiceNowユーザ
      • Short description: ServiceNowに表示されるチケットの簡単な説明
    5. プレイブック結果の送信を手動で承認する必要がある場合は、手順に従います。7をクリックして通知を設定します。
      注意
      注意
      この設定は、チケット通知処理でのみ使用できます。
    6. [適用] をクリックします。
  9. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
    1. ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) 条件ノードの下にある Else-If Condition または Else Actionをクリックします。
    2. 次の手順に従って条件ノードを設定します。6または、次の手順に従って処理ノードを設定します。7または ステップ8
    注意
    注意
    • ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。
    • 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
    • シリアルモードで設定された複数の Action ノードは、順番に取得されます。
  10. Enable コントロールをオンにして、Playbookを有効にします。
  11. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。