ビュー:

環境で検出された新規および進行中のリスクイベントに手動または定期的に対応します。

環境でリスクイベントが検出されると、リスクイベント対応Playbookはリスクを軽減するための対応タスクを作成できます。
重要
重要
Attack Surface Risk Managementの権限が有効になっており、リスクイベント対応Playbookを作成するために必要なデータソースが構成されている必要があります。

手順

  1. [Workflow and Automation][Security Playbooks] に移動。
  2. オンPlaybookタブで、追加プレイブックの作成
  3. オン[Playbookの設定]パネルで、[リスクイベント]と入力し、プレイブックの一意の名前を指定して、[適用]
  4. [トリガ設定] パネルで、トリガの種類を選択し、 [適用]をクリックします。
    • Manual: Run アイコン (run=fddd0df8-993a-4aa5-b09c-51ad84aec2a4.png )
    • [予約] : プレイブックを毎時、毎日、毎週、または毎月実行するようにスケジュールできます。
  5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
    各リスクイベント対応Playbookには、最大10個の[対象]ノードを追加できます。
    1. [リスク要因]ドロップダウンリストから、プレイブックが対応するリスクイベントのリスク要因を選択します。
      注意
      注意
      XDR検出の場合、自動応答Playbookの作成Workbenchで優先度の高いアラートの処理を自動的に実行します。
    2. [リスクイベント]ドロップダウンリストから、Playbookで応答するリスクイベントを選択します。
      重要
      重要
      選択した場合[すべてのリスクイベント]の場合、選択したリスク要因に関連付けられている将来のリスクイベントがすべてプレイブック対象に自動的に含まれます。
      Playbookの処理をトリガーするのは、ステータスが「新規」および「進行中」のリスクイベントのみです。
    3. [リスクレベル]ドロップダウンリストから、リスクイベントのリスクレベルを選択します。
  6. 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
    1. [対象] ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 [条件]をクリックします。
    2. ParameterOperator、および Valueを指定して、条件設定を作成します。
      • IS: いずれかの値が一致した場合に条件がトリガーされます。
      • [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
    3. [適用] をクリックします。
    4. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target ノードの右側にあります。
    5. Condition ノードの Action を設定する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックします。
      詳細については、「手順」を参照してください。7
    6. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png )条件ノード。
      詳細については、「手順」を参照してください。9
  7. Action ノードを追加して処理を設定します。
    1. Condition ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. オン[処理設定]パネル、選択[CSVファイルを生成] 、または[リスクイベント]指定したリスクイベントに対して実行する対応処理を設定します。
      • [CSVファイルを生成] : Playbookは、検出されたリスクイベントを統合し、リスクイベントと影響を受けるアセットに関する情報を含む.CSVファイルを生成します。
      • [リスクイベント] : Playbookは、リスクイベントに対してダイレクト対応処理処理を実行します。
        設定
        説明
        ユーザアカウント
        • [何もしない] : ユーザアカウントに対して処理を実行しません。
        • [ユーザアカウントを無効化] : ユーザアカウントのすべてのアクティブなアプリケーションセッションとブラウザセッションからユーザをサインアウトします。ユーザは新しいセッションにログインできません。
        • [強制サインアウト] : ユーザアカウントのすべてのアクティブなアプリケーションセッションとブラウザセッションからユーザをサインアウトします。ユーザは、閉じられたセッションにすぐに再度ログインしたり、新しいセッションにログインしたりできます。
        • [パスワードの強制リセット] : アクティブなすべてのアプリケーションセッションとブラウザセッションからユーザをサインアウトし、次回のサインイン試行時に新しいパスワードを作成するようにユーザに強制します。
        エンドポイント
        • [エンドポイントを隔離] : 対象エンドポイントをネットワークから切断します。ただし、管理対象のトレンドマイクロサーバ製品との通信は除きます。
        • [カスタムスクリプトを実行] : 監視対象のエンドポイントに接続し、以前にアップロードしたPowerShellまたはBashスクリプトファイルを実行します。
          カスタムスクリプトを実行するには、次の手順を実行します。
          1. [ファイルの種類] ドロップダウンリストからスクリプトファイルの種類を選択します。
          2. をクリックして、ローカルからスクリプトファイルをアップロードします。[ファイルをアップロード] 。次に、[ファイル]ドロップダウンリスト。
            Bashスクリプト (.sh)スクリプトファイルの種類をアップロードする前に、オペレーティングシステムを指定します。
          3. スクリプトに追加の入力が必要な場合は、パラメータを入力します。
    3. 一般処理を作成するための手動承認を要求する通知を送信するかどうかを選択し、手動承認が必要な場合は通知設定を行います。
      注意
      注意
      24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。
      設定
      説明
      通知方法
      • Email: 指定した受信者にメール通知を送信します。
      • Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
    4. [適用] をクリックします。
    5. 複数の並列処理を追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target または Condition ノードの右側にあります。
  8. 2番目の Action ノードを追加して、通知を設定します。
    1. 最初の Action ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定] パネルで、Playbookの結果を受信者に通知する方法を指定します。
    3. メール通知とWebhook通知の場合は、次の設定を行います。
      設定
      説明
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      宛先Webhook接続を追加するをクリックし、ドロップダウンリストの [チャネルを作成] をクリックします。
    4. ServiceNowチケット通知の場合は、次の設定を行います。
      設定
      説明
      チケットプロファイル
      使用するServiceNowチケットプロファイル
      ヒント
      ヒント
      必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。
      チケットプロファイル設定
      Playbookのチケットプロファイル設定
      チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。
      • Assignment group: チケットを割り当てるServiceNow割り当てグループ
      • Assigned to: チケットを割り当てるServiceNowユーザ
      • Short description: ServiceNowに表示されるチケットの簡単な説明
    5. プレイブック結果の送信を手動で承認する必要がある場合は、手順に従います。3をクリックして通知を設定します。
      注意
      注意
      この設定は、チケット通知処理でのみ使用できます。
    6. [適用] をクリックします。
  9. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
    1. ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) 条件ノードの下にある Else-If Condition または Else Actionをクリックします。
    2. 設定[条件]次の手順でノード6または[処理]次の手順でノード7または ステップ8
    注意
    注意
    • ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。
    • 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
    • シリアルモードで設定された複数の Action ノードは、順番に取得されます。
  10. Enable コントロールをオンにして、Playbookを有効にします。
  11. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。