ケースを開いたり更新したりしてWorkbenchインサイトの進捗を自動的にステークホルダーに通知し、AI生成の要約を含むメール通知を送信し、影響を受けたエンドポイントからフォレンジックエビデンスを収集します。
Workbench Insight Progression Update Playbookは、Workbenchのインサイトが生成または更新された際にステークホルダーに自動的に通知することで、セキュリティチームのコミュニケーションを効率化し、対応を迅速化します。このPlaybookは、インサイトのためにケースを開いたり更新したりし、指定された受信者にインサイト情報のメール通知を送信することができます。通知とケースの更新には、インサイトの生成AIによる要約を含めることができ、情報に基づいた意思決定をサポートするための明確で文脈に沿った情報を提供します。Playbookは、スコア、攻撃フェーズ、アラートの重大度、またはケースのステータスに基づいて特定のインサイトをターゲットにするように設定できます。
Agentic SIEM & XDRの権利が有効になっており、次の必要なデータソースが設定されている必要があります: XDR Endpoint SensorまたはXDR
Email Sensor。
手順
- に移動。
- [Playbook] タブで の順に選択します。
- [Playbookの設定]パネルで[XDR検出]タイプを選択し、Playbookの一意の名前を指定して[適用]をクリックします。
- [トリガ設定]パネルで、トリガータイプとして[自動または手動 (Workbenchから実行)]または[手動 (Workbenchから実行)]を選択し、[適用]をクリックします。
-
自動または手動 (Workbenchから実行): Workbenchインサイトは自動的にPlaybookの実行をトリガーします。インサイトが生成または更新されるたびに、Playbookがトリガーされます。Workbenchから手動でPlaybookの実行をトリガーすることもできます。[指定された期間中のみPlaybookを自動的に実行する]を選択し、自動実行の日付と時間帯を指定します。[トリガ設定]では、最大10セットの日付と時間帯を指定できます。
-
手動 (Workbenchから実行): WorkbenchからPlaybookの実行を手動でトリガーする必要があります。
-
- [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
- [対象]ドロップダウンリストで[Workbench insight]を選択してください。
- [Alert severity within insight] ドロップダウンメニューで、進行通知が必要なWorkbenchインサイトのアラートの重大度レベルを選択します。
- 特定のスコア範囲内のWorkbenchインサイトに対してのみPlaybookアクションをトリガーしたい場合は、[Filter insights by score]を選択し、ドロップダウンリストから範囲を選択するか、カスタム範囲を設定してください。
- 特定の攻撃フェーズに関連付けられたWorkbenchインサイトに対してのみPlaybookアクションをトリガーしたい場合は、[Filter insights by attach phase]を選択し、ドロップダウンリストから攻撃フェーズを選択してください。
- [対象] ノードの右側にあるノードの追加 (
) をクリックし、 [条件]をクリックします。 - Parameter、 Operator、および Valueを指定して、条件設定を作成します。設定説明パラメータ次のオプションのいずれかをパラメータとして指定してください。
-
ケース
-
Insight score
-
攻撃段階
-
Alert severity within insight
オペレータ-
IS: いずれかの値が一致した場合に条件がトリガーされます。
-
[次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
値パラメータ値を指定してください。 -
- [適用] をクリックします。
- 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 (
) Target ノードの右側にあります。 - Condition ノードの Action を設定する必要がある場合は、ノードの追加 (
) をクリックします。詳細については、手順7を参照してください。 - else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 (
)条件ノード。詳細については、手順10を参照してください。
- [対象] ノードの右側にあるノードの追加 (
- Action ノードを追加して処理を設定します。
- [条件]ノードの右側にあるノード追加 (
) をクリックし、[処理]をクリックします。 - [処理設定]パネルで、対象のWorkbenchインサイトに対して実行されるケース関連のアクションを設定します。処理設定新しいケースを開く
-
新しいケースにインサイトの生成AIによる要約を含めるには、[Turn on Generative AI]をクリックし、[Workbench insight summary]を選択します。
-
他のケースから関連するコンテンツをインポートするには、[Import case contents from cases with correlated alerts]を選択してください。
-
ケースに優先度を割り当てるには、[Assign case priority]を選択し、優先度を選択してください。
-
TrendAI Vision One™からケース所有者を指定するには、[TrendAI Vision One™ケースの所有者を割り当てる]を選択し、[所有者]ドロップダウンリストから所有者を選択します。
ターゲットWorkbenchインサイトに対して既にケースが存在する場合、新しいケース設定が既存のケースを上書きします。既存のケースを更新-
利用可能なオプションからケースの新しいステータスを選択してください。
-
実行する
-
処理中
-
クローズ
-
-
ケースに関連する該当する所見を選択してください。
-
真陽性
-
無害な検出
-
誤検出
-
注目すべき検出
-
その他の検出結果
-
-
追加情報やメモがある場合は、[注釈] テキストボックスに入力してください。
-
- [適用] をクリックします。
- 複数の並列アクションを追加する必要がある場合は、[対象]ノードまたは[条件]ノードの右にある
をクリックしてください。
- [条件]ノードの右側にあるノード追加 (
- [処理]ノードを追加して通知設定を構成します。
- 前のノードの右側にあるノード追加ボタン (
) をクリックし、[処理]をクリックします。 - [処理設定]パネルで、インサイト情報の受信者への通知方法を指定します。処理設定インサイト情報のメール通知を送信する
-
通知件名の先頭に表示されるプレフィックスを指定してください。
-
メール通知にインサイトの生成AIによる要約を含めるには、[Turn on Generative AI]をクリックし、[Workbench insight summary]を選択してください。
-
展開されたWorkbenchインサイトの詳細を添付ファイルと共に含めるには、[Attachments of alert list]、[Attachments of impact scope]、[Attachments of highlighted objects]を選択してください。
-
受信者のメールアドレスを指定してください。
-
- [適用] をクリックします。
- 前のノードの右側にあるノード追加ボタン (
- Action ノードを追加して処理を設定します。
- [条件]ノードの右側にあるノード追加 (
) をクリックし、[処理]をクリックします。 - [処理設定] パネルの [エンドポイントの処理] で、[エビデンスを収集] を選択します。PlaybookはWorkbenchインサイトの影響範囲からエンドポイントを自動的に収集対象として使用します。エンドポイントを手動で指定する必要はありません。ターゲットエンドポイントからフォレンジックエビデンスを収集し、調査のためにForensicsアプリにアップロードします。

重要
-
このアクションを使用するには、Forensics[エビデンス収集]機能を有効にし、Creditsを割り当てる必要があります。オプションが利用できない場合は、Forensicsアプリに移動してエビデンス収集を有効にしてください。
-
ターゲットエンドポイントにはTrendAI Vision One™XDR for Endpoint (XDR Endpoint Sensor) がインストールされている必要があります。
-
- [エビデンスの種類]で収集するエビデンスの種類を選択してください。収集するエビデンスタイプを1つ以上選択してください。[基本情報]は必須であり、デフォルトで選択されています。利用可能なオプションはエンドポイントのOSによって異なります。Windows
-
基本情報
-
アカウント情報
-
ネットワーク情報
-
プロセス情報
-
サービス情報
-
システム実行情報
-
ユーザアクティビティ
-
イベントログ
-
ファイルのタイムライン
-
レジストリ
Linux-
基本情報
-
プロセス情報
-
ネットワーク情報
-
サービス情報
-
アカウント情報
-
ユーザアクティビティ
-
ファイルのタイムライン
-
ログ
各エビデンスタイプの詳細については、WindowsエビデンスタイプまたはLinuxのエビデンスの種類を参照してください。 -
- (オプション) 各エンドポイントで実行される前にアクションを確認して承認したい場合は、[処理に手動承認を要求]を選択してください。選択すると、アクションは各対象エンドポイントで実行する前に手動で承認が必要です。保留中のアクションを承認または拒否するには、アクションの実行結果に移動し、[Approve all pending] または [Reject all pending] を選択してください。
- [適用] をクリックします。
Playbookが実行されると、Collect evidenceアクションはWorkbenchインサイトの影響範囲内のエンドポイントからフォレンジックエビデンスを収集します。収集されたエビデンスは自動的にForensicsアプリにアップロードされます。結果を確認するには、Playbookの実行結果を開きます。全体のステータスは[成功]、[Partially approved]、または[失敗]を示します。[詳細を確認]を選択してエンドポイントごとのアクションステータスを表示し、[View collection details in Forensics]を選択してForensicsアプリで収集されたエビデンスを開きます。各Playbookの実行は、自動的にSecurity Playbooks - execution-idという名前のForensicsワークスペースを作成します。インサイトによってトリガーされた実行の場合、ワークスペースの説明には元のWorkbenchインサイトも参照されます。 - [条件]ノードの右側にあるノード追加 (
- 必要に応じて、 Else-If Conditions または Else Actions を設定します。
- [条件]ノードの下の
をクリックし、[Else-If条件]または[Else処理]をクリックします。 - 条件ノードを構成するには、手順6に従ってください。または、アクションノードを構成するには、手順7、手順8、手順9に従ってください。
-
追加できるノードは、前のノードによって異なります。例えば、[処理]ノードの後には、別の[処理]ノードのみが続く可能性があります。[条件]ノードの後には[処理]ノードが続くか、[Else-If条件]または[Else処理]が接続されることがあります。
-
条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
-
シリアルモードで設定された複数の Action ノードは、順番に取得されます。
- [条件]ノードの下の
- Enable コントロールをオンにして、Playbookを有効にします。
- [保存] をクリックします。プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。
