ビュー:

エビデンス収集プレイブックを作成して、脅威の調査とインシデント対応をサポートするエビデンスを収集します。

ネットワーク上で発生し、さらに注意が必要な可能性がある重大なインシデントを内部調査するために、侵害された可能性のあるエンドポイントから詳細なエビデンスを収集します。
重要
重要
  • エビデンスを収集するには、対象のエンドポイントでXDRエンドポイントセンサーを有効にする必要があります。
  • エビデンスアーカイブは、SANS InstitutesおよびCyLRツールと同じフォルダ構造を使用します。

手順

  1. [Workflow and Automation][Security Playbooks] に移動。
  2. [Playbook] タブで、[追加][テンプレートから作成]
  3. [インシデント対応エビデンス収集] を選択し、 [テンプレートからPlaybookを作成]をクリックします。
  4. Playbookを設定し、 Applyをクリックします。
    注意
    注意
    Playbookには一意の名前を指定する必要があります。
  5. の名前をカスタマイズするにはトリガノードをクリックし、編集アイコン (edit=6bab3fa2-ec74-4134-97fb-784f64900103.png )。
  6. エンドポイント名またはIPアドレスで、エビデンス収集の対象となるエンドポイントを識別します。
    • [エンドポイント名]を使用してエンドポイントからエビデンスを収集するには、 [エンドポイント名] テキストボックスにエンドポイント名を指定します。
    • [IPアドレス]を使用してエンドポイントからエビデンスを収集するには、 [IPアドレス] テキストボックスにIPアドレスまたはIP範囲を指定します。
      最大10個のIP範囲を使用できます。 IP範囲の例を次に示します。
      • 10.1.0.*
      • 192.168.1.0/24
      • 192.168.1.10–192.168.1.20
      CIDR表記では、プレフィックスの長さの範囲は16~32です。開始IP~終了IP形式を使用する場合、最初の2つのオクテット (ネットワーク部分を表す) は、範囲内のすべてのIPアドレスで同じである必要があります。
  7. 最初のアクションノード(初期設定名: [手動承認について受信者に通知])。
    1. (オプション) ノードのカスタム Name を指定します。
    2. 対応処理を作成するための手動承認を要求する通知を送信するかどうかを選択します。
      重要
      重要
      24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。
    3. 手動承認が必要な場合は、次の設定を行います。
      設定
      説明
      通知方法
      • Email: 指定した受信者にメール通知を送信します。
      • Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
  8. 次回のエビデンス収集の設定アクションノード(初期設定名: [エビデンスを収集])。
    設定
    説明
    名前
    ノード名
    エビデンスの種類
    注意
    注意
    [基本情報] は必須です。
    エンドポイントのアーカイブ場所
    ローカルエンドポイント上のアーカイブの場所
    重要
    重要
    • ローカルアーカイブは暗号化されておらず、削除されるまでエンドポイントに残ります。これにより、ファイルシステムへのアクセス権を持つすべての人物が機密情報にアクセスできるようになったり、進行中の調査の存在が明らかになったりする可能性があります。
    • エビデンスのアーカイブはハードドライブの容量を占有し、エンドポイントのパフォーマンスに影響を与える可能性があります。
    Trend Vision Oneへのエビデンスのアップロード
    Trend Vision One コンソールのフォレンジックアプリにエビデンスをアップロードします。
    重要
    重要
    Playbookでは、収集したエビデンスを Trend Vision One コンソールのForensicsアプリにアップロードするためのCreditsが必要です。エビデンスをアップロードするようにプレイブックを設定する前に、Forensicsでデータ許容量を設定します。
    データ許容量が設定されていない場合、 [Trend Vision Oneへのエビデンスのアップロード] を有効にして2023年10月13日より前に作成されたすべてのプレイブックで、エビデンスの収集、ローカルでの保存、またはフォレンジックアプリへのアップロードができなくなります。
    ヒント
    ヒント
    アップロードされたエビデンスは、 Security Playbooksアプリの [実行結果] ページで検索できます。
  9. Playbookの結果を受信者に通知する方法を指定します。パス選択ノード
    注意
    注意
    結果を通知するパスは1つだけ選択できます。
  10. メール通知とWebhook通知の場合は、アクションノード(初期設定名: [結果についての通知を送信])。
    設定
    説明
    名前
    ノード名
    通知方法
    • Email: 指定した受信者にメール通知を送信します。
    • Webhook: 指定したWebhookチャネルに通知を送信します。
    件名のプレフィックス
    通知の件名の先頭に表示されるプレフィックス
    受信者
    受信者のメールアドレス
    メール通知方法を選択した場合にのみ表示されます。
    Webhook
    通知を受信するWebhookチャネル
    このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
    ヒント
    ヒント
    必要な場合Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
  11. ServiceNowチケット通知の場合は、2つのアクションノードを設定します。
    1. 手順7に従って、最初のアクションノード(初期設定名: [手動承認について受信者に通知])。
    2. 次の設定アクションノード(初期設定名: [結果についてのチケット通知を送信])。
      設定
      説明
      名前
      ノード名
      通知方法
      アクションノードは Ticket 通知のみを送信できます
      チケットプロファイル
      使用するServiceNowチケットプロファイル
      ヒント
      ヒント
      必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。
      チケットプロファイル設定
      Playbookのチケットプロファイル設定
      チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。
      • Assignment group: チケットを割り当てるServiceNow割り当てグループ
      • Assigned to: チケットを割り当てるServiceNowユーザ
      • Short description: ServiceNowに表示されるチケットの簡単な説明
  12. Enable コントロールをオンにして、Playbookを有効にします。
  13. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。