建立自動化高風險帳戶回應劇本

步驟

1. 前往工作流程和自動化 → 安全劇本。
2. 在Playbooks標籤上，選擇新增 → Create playbook。
3. 在Playbook Settings面板上，選擇Account risks類型，指定一個唯一的名稱給劇本，然後點選Apply。
4. 在Trigger Settings面板上，選擇觸發類型Automatic並點選Apply。
   風險分數高於 50 的使用者帳號會自動觸發劇本執行。
5. 在Target Settings面板上，選擇並配置Target以用於劇本，然後點選Apply。
   1. 從Risk score exceeds 50下拉清單中，選擇風險分數超過50的持續時間。
   • Once：劇本針對風險分數至少一次超過50的帳戶。
   • For past 1 day：劇本針對前一天風險分數持續高於50的帳戶。
   • For past 2 days：劇本針對過去兩天風險分數保持在50以上的帳戶。
   此劇本僅減輕一種風險類型：User with a persistent high risk score。您只能配置一個目標節點。

   重要 若要使 安全劇本 能夠回應高風險分數的帳戶，請在 Third-Party Integration 中配置 Zscaler 網路存取整合 或授與權限以存取您 Microsoft Entra ID 資料和 Active Directory 資料，方法是進入 Executive Dashboard → Data sources。

6. 如果需要在滿足特定條件時採取行動，請配置Condition節點。
   1. 點選Target節點右側的新增節點()，然後點選Condition。
   2. 通過指定Parameter、Operator和Value來創建條件設置。
      • IS：如果任何值匹配，則觸發條件
      • IS NOT：如果沒有符合的值，則觸發此條件
   3. 如果您需要配置多組條件設置，請點選新增。
      條件運算子使用邏輯 AND 進行評估。
   4. 點選Apply。
   5. 如果您需要新增多個平行的Condition節點，請點選Target節點右側的新增節點()。
   6. 如果您需要為Condition節點配置處理行動設定，請點擊右側的新增節點()來新增一個處理行動節點。
      如需詳細資訊，請參閱步驟 7。
   7. 如果您需要配置 else-if 條件或 else 動作，請在 Condition 節點下點擊新增節點 () 來新增 Else-If Condition 或 Else Action 節點。
      如需詳細資訊，請參閱步驟 9。
7. 透過新增處理行動節點來配置操作。
   1. 點選Condition節點右側的新增節點()，然後點選處理行動。
   2. 在 處理行動設定 面板上，從 處理行動 下拉清單中選擇 Generate CSV file 或 回應 動作。
      要配置以下操作，您必須授予趨勢科技權限，以在支援的身份和存取管理 (IAM) 系統上強制執行相應的使用者存取政策：

      • 關閉使用者帳號
      • 啟用使用者帳號
      • 強制登出
      • 強制重設密碼

      警告 如果關閉使用者帳號操作關閉了在第三方整合中的 Active Directory（內部部署）連接設定中配置的帳號，您將無法還原已關閉的帳號。趨勢科技 建議此操作需要手動批准。

      若要配置以下操作，您必須在Third-Party Integration中配置Zscaler 網路存取整合或Zscaler Private Access 整合。

      • 添加到 Zscaler 受限用戶組

      注意 此操作會將使用者帳號新增到為 Zscaler 網路存取和 Zscaler 私人存取服務所建立的 Zscaler 受限使用者群組中，從而啟用 Zscaler 策略實施。

   3. 選擇是否發送通知以請求手動批准來創建一般操作，然後在需要手動批准時配置通知設置。

      注意 超過24小時暫停中等待手動批准的操作將過期且無法執行。

      設定	說明
      通知方法	電子郵件：向指定的收件人發送電子郵件通知 Webhook：向指定的 webhook 頻道發送通知
      主題前綴	通知主題行開頭出現的前綴
      收件者	收件人的電子郵件地址 該欄位僅在您為Notification method選擇電子郵件時顯示。
      Webhook	接收通知的 webhook 通道 僅當您為Notification method選擇Webhook時，該欄位才會出現。 秘訣 要新增 Webhook 連接，請在下拉清單中點選Create channel。

   4. 點選Apply。
   5. 如果您需要添加多個並行操作，請使用Target或Condition節點右側的添加節點()。
8. 通過添加第二個處理行動節點來配置通知設置。
   1. 點選第一個處理行動節點右側的新增節點()，然後點選處理行動。
   2. 在處理行動設定面板上，指定如何通知收件人劇本結果。
   3. 對於電子郵件和 Webhook 通知，請配置以下設定。

      設定	說明
      主題前綴	通知主題行開頭出現的前綴
      收件者	收件人的電子郵件地址 該欄位僅在您為Notification method選擇電子郵件時顯示。
      Webhook	接收通知的 webhook 通道 僅當您為Notification method選擇Webhook時，該欄位才會出現。 秘訣 要新增 Webhook 連接，請在下拉清單中點選Create channel。

   4. 對於 ServiceNow 工單通知，請配置以下設定。

      設定	說明
      票證設定檔	要使用的 ServiceNow 工單配置檔 秘訣 如果您需要新增票證設定檔，請在下拉清單中點選Create ticket profile。
      票證設定檔	劇本的票證設定 選擇票證配置檔案會自動載入設定。更改設定會覆蓋劇本的票證配置檔案。 Assignment group: 您想要指派工單的 ServiceNow 指派群組 Assigned to: 您想指派工單的 ServiceNow 使用者 Short description: 在 ServiceNow 中顯示的工單簡短描述

   5. 如果您需要手動批准發送劇本結果，請按照步驟 3 配置通知設置。

      注意 此設定僅適用於票務通知操作。

   6. 點選Apply。
9. 如有需要，請配置Else-If Conditions或Else Actions。
   1. 點選條件節點下方的新增節點 ()，然後點選Else-If Condition或Else Action。
   2. 按照步驟 6 配置Condition節點，或按照步驟 7 或步驟 8 配置處理行動節點。

   注意 可以使用新增節點（）添加的節點取決於前一個節點。例如，一個處理行動節點只能可能跟隨另一個處理行動節點；一個Condition節點可以跟隨一個處理行動節點，或者附加一個Else-If Condition或Else Action。 當條件為假時，劇本會執行Else Action或檢查其Else-If Condition是否符合。如果Else-If Condition符合，劇本會繼續執行相應的Else Action。 多個處理行動節點以串行模式配置時會依次執行。

10. 通過切換啟動控制來啟用劇本。
11. 點選儲存。
    劇本顯示在 安全劇本 應用程式的 Playbooks 標籤上。