Automated Response Playbook

Automated Response Playbookを作成することで、重要な Workbench アラートに自動的に応答し、 対応 の迅速化と影響範囲の最小化を実現します。

Automated Response Playbook (以前の自動応答) を使用すると、 Security Playbooks アプリを活用して、対応からWorkbenchアラートを自動化できます。

"極めて不審"または"不審"オブジェクトで検出モデルによってアラートがトリガされた場合、Automated Response Playbookは対応タスクを作成し、その結果をセキュリティチームに送信するレポートにまとめることができます。

Automatic Investigation and Responseシステムは、Trend Micro Smart Protection Networkを搭載したTrend Micro Threat Intelligenceを活用して、ファイル、URL、IPアドレス、ドメインなど、Workbenchアラートで見つかった注目すべきオブジェクトを再評価します。この分析では、再評価時の誤検出の可能性を測定します。誤検出の可能性が低い場合、オブジェクトには "非常に疑わしい"というラベルが付けられます。誤検出の可能性が高い場合、オブジェクトには"不審"というラベルが付けられます。対応システムは、Playbookを実行し、オブジェクトごとに対応タスクを作成します。単一のWorkbenchアラートに複数の注目すべきオブジェクトがある場合、対応システムおよびプレイブックでは、同時に実行される可能性がある各オブジェクトに対して個別の対応タスクが作成されることがあります。

  1. Workflow and Automation > Security Playbooksに移動します。
  2. Playbooksタブで、追加をクリックします。
  3. Automated Response Playbookを選択し、テンプレートからPlaybookを作成をクリックします。
  4. Playbookを設定し、適用をクリックします。
    注:

    Playbookには一意の名前を指定する必要があります。

  5. トリガノードの名前をカスタマイズするには、設定アイコンをクリックします。
    注:

    Workbenchアラートは、Automated Response Playbookで使用できる唯一のトリガタイプです。

  6. 条件設定ノード (初期設定名: "Workbench アラート")を設定して、詳細な調査が必要な Workbench アラートの 重大度 レベルを指定します。
  7. 最初の パス選択ノードを設定して、不審オブジェクトまたは極めて不審オブジェクトに対して自動処理を実行するかどうかを指定します。
    注:

    オブジェクトの種類を選択することで、Playbookがたどるパスが決まります。手順8と手順9は、非常に不審なオブジェクトと不審オブジェクトの両方で同じです。

  8. 最初の 処理ノード で手動承認を設定します(初期設定名: "指定した受信者に手動承認を通知")。
    1. (オプション)ノードのカスタム 名前 を指定します。
    2. 対応処理を作成するための手動承認を要求する通知を送信するかどうかを選択します
      重要:

      手動による承認が24時間を超えると処理が期限切れになり、実行できません。

    3. 手動での承認が必要な場合は、次の設定を行います。

      設定

      説明

      通知方法

      • メール:指定した受信者にメール通知を送信します。

      • Webhook:指定されたWebhookチャネルに通知を送信します。

      件名のプレフィックス

      通知の件名行の先頭に表示されるプレフィックス

      対応タスクの詳細の展開

      通知にさらに詳細な情報を含める

      通知に含まれる情報は、画面の下部で確認できます。

      重要:

      拡張された対応タスクの詳細には、環境に関する個人情報や機密情報が含まれている可能性があります。適切な権限を持つユーザのみが受信者リストに含まれるようにします。

      受信者

      受信者のメールアドレス

      このフィールドは、通知方法メールを選択した場合にのみ表示されます。

      Webhook

      通知を受信するWebhookチャネル

      このフィールドが表示されるのは、 通知方法Webhookを選択した場合のみです。

      ヒント:

      で Webhook 接続を追加するには、ドロップダウン リストでチャネルを作成をクリックします。

  9. 対応処理を次の 処理ノード (初期設定名: "Response action")で設定します。

    詳細については、「 対応処理」を参照してください。

    設定

    説明

    名前

    ノード名

    一般的な処理

    すべての種類のオブジェクトに対する応答処理

    • ブロックリストにオブジェクトを追加:オブジェクトをユーザ定義の不審オブジェクトリストに追加します。

    メール

    メールオブジェクトに対する応答処理

    • なし:メールメッセージに対して処理を実行しません。

    • メールを削除する:検出されたメールボックスから対象のメールを削除します。

    • メールの隔離:対象のメールを隔離フォルダに移動します。

    ファイル

    ファイルオブジェクトに対する応答処理

    • ファイルの収集:ファイルを圧縮し、アーカイブを Response Management アプリに送信します。

    • ファイルオブジェクトをサンドボックスに送信:仮想サンドボックス環境で分析するためにファイルを Sandbox Analysis アプリに送信します。

      注:

      この処理を実行するには、Creditsおよび Sandbox Analysis アプリを設定する必要があります。

    エンドポイント

    エンドポイントの応答処理

    • エンドポイントを隔離:対象のエンドポイントをネットワークから切断します(管理下のトレンドマイクロサーバ製品との通信を除く)。

  10. 2番目の パス選択ノードを設定するPlaybookの結果を受信者に通知する方法を指定します。
    注:

    結果の通知先として選択できるパスは1つだけです。

  11. メール通知とWebhook通知の場合は、 処理ノード を設定します(初期設定名: "受信者に手動承認を通知")。

    設定

    説明

    名前

    ノード名

    通知方法

    • メール:指定した受信者にメール通知を送信します。

    • Webhook:指定されたWebhookチャネルに通知を送信します。

    件名のプレフィックス

    通知の件名行の先頭に表示されるプレフィックス

    対応タスクの詳細の展開

    通知にさらに詳細な情報を含める

    通知に含まれる情報は、画面の下部で確認できます。

    注:

    拡張された 対応 タスクの詳細には、環境に関する個人情報や機密情報が含まれている可能性があります。適切な権限を持つユーザのみが受信者リストに含まれるようにします。

    受信者

    受信者のメールアドレス

    このフィールドは、通知方法メールを選択した場合にのみ表示されます。

    Webhook

    通知を受信するWebhookチャネル

    このフィールドが表示されるのは、 通知方法Webhookを選択した場合のみです。

    ヒント:

    Webhook接続を追加する必要がある場合は、ドロップダウンリストでチャネルを作成をクリックします。

  12. ServiceNowチケット通知の場合は、2つの処理ノードを設定します。
    1. 手順8に従って、最初の 処理ノード を設定します(初期設定名: "指定した受信者に手動承認を通知")。
    2. 次の 処理ノード を設定します(初期設定名: "結果のチケット通知")。

      設定

      説明

      名前

      ノード名

      通知方法

      処理ノードから送信できるのは "チケット" の通知のみです。

      チケットプロファイル

      使用するServiceNowチケットプロファイル

      ヒント:

      でチケットプロファイルを追加する必要がある場合は、ドロップダウンリストでチケットプロファイルの作成をクリックします。

      チケットプロファイル設定

      Playbookのチケットプロファイル設定

      チケットプロファイルを選択すると、設定が自動的に読み込まれます。設定を変更すると、Playbookのチケットプロファイルがオーバーライドされます。

      • 割り当てグループ: チケットを割り当てるServiceNow割り当てグループ

      • 割り当て先: チケットを割り当てるServiceNowユーザ

      • 短い説明: ServiceNowに表示されるチケットの短い説明です。

  13. 有効にする 有効化コントロールをオンに切り替えて、Playbookを有効にします。
  14. 保存をクリックします。

    Playbookは、 Security Playbooks アプリの Playbook タブに表示されます。