手動で自動対応Playbookを作成

手順

1. [Workflow and Automation] → [Security Playbooks] に移動。
2. [Playbook] タブで [追加] → [Build manually] の順に選択します。
3. [Playbookの設定] パネルで [XDR検出] タイプを選択し、Playbookの一意の名前を指定して、 [適用]をクリックします。
4. [トリガ設定] パネルで、トリガタイプとして [手動 (Workbenchから実行)] または [自動または手動 (Workbenchから実行)] を選択し、 [適用]をクリックします。
   • [自動または手動 (Workbenchから実行)]: Workbenchアラートにより、Playbookの実行が自動的にトリガーされます。 WorkbenchからPlaybookの実行を手動でトリガーすることもできます。
     [Execute playbook automatically only during specified period]を選択し、自動実行の日付と時間帯を指定します。

     注意 [トリガ設定]で最大10セットの日付と時間帯を指定できます。

   • [手動 (Workbenchから実行)]: WorkbenchからPlaybookの実行を手動でトリガーする必要があります。
   WorkbenchからPlaybookの実行をトリガーする方法の詳細については、すべてのアラートそしてWorkbenchインサイトで相関されたアラートWorkbenchのドキュメントを参照してください。
5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
   1. [対象]ドロップダウンリストで[Workbenchアラート]を選択してください。
   2. [重大度]ドロップダウンリストで、さらなる調査が必要なWorkbenchアラートの重大度レベルを選択してください。
   3. 特定の検出モデルに関連付けられたWorkbenchアラートに対してのみPlaybookの処理をトリガーする場合は、 [検出モデルによるフィルタ]を選択します。
      1. [モデルを選択]をクリックします。
      2. Workbenchアラートをフィルタする検出モデルを選択します。

         重要 選択したモデルの重要度は、対象設定の重要度と一致する必要があります。一致しない場合、Playbookの実行に失敗する可能性があります。

         ヒント 事前定義された検出モデルとカスタム検出モデルの両方を使用して、 Workbenchアラートをフィルタできます。カスタム検出モデルを選択するには、 [カスタムモデル] をクリックします。

      3. [選択した検出モデルに移動]をクリックします。
      4. [保存] をクリックします。
   4. Workbenchアラートで注目すべきオブジェクトのリスクレーティングに基づいて条件を設定する場合は、 [注目すべきオブジェクトのリスクでフィルタ]を選択します。
   5. 条件を満たすWorkbenchアラートのケースをPlaybookで開く場合は、 [Workbenchケースを開く]を選択し、アラートに最大50人の所有者を割り当て、Playbookが正常に実行されたときにケースを自動的にクローズするかどうかを指定します。

      重要 ケースを作成すると、Workbenchのすべてのメモがケースに転送されます。新しいメモはケースにのみ追加できます。 ServiceNowにケースを同期したい場合は、ServiceNowチケットシステムのTrendAI Vision One™を有効にするためにServiceNow ITSMを構成するの手順9を参照してください。 Workbenchですでにケースに関連付けられているアラートでは、新しいケースは作成されません。代わりに、Playbookは実行ステータスと実行結果で既存のケースを更新します。すでに所有者がいる既存のケースに新しい所有者が割り当てられることはありません。

   6. [適用] をクリックします。
6. 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
   1. [対象] ノードの右側にあるノードの追加 ( ) をクリックし、 [条件]をクリックします。
   2. Parameter、 Operator、および Valueを指定して、条件設定を作成します。

      設定	説明
      パラメータ	次のオプションのいずれかをパラメータとして指定してください: アセットグループ アセットの重要度 カスタムタグ [エンドポイント名] [エンドポイントの種類] [注目すべきオブジェクトのリスク] 注意 このオプションは、[対象] ノードで [注目すべきオブジェクトのリスクでフィルタ] を選択した場合にのみ利用できます。 IPアドレス 重要 これは「プレリリース」機能であり、公式リリースとは見なされません。を確認してください。プレリリースに関する免責事項機能を使用する前に [OS]
      オペレータ	IS: いずれかの値が一致した場合に条件がトリガーされます。 [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
      値	パラメータの値を指定してください。 [注目すべきオブジェクトのリスク]の値は以下のように説明されます: [極めて不審]: ハイライトされたオブジェクトが誤検出される可能性は低いです [不審]: ハイライトされたオブジェクトが誤検出される可能性が高くなります [未評価]: [極めて不審] および [不審]以外の解析結果 [IPアドレス]の値に関する情報については、Workbenchアプリのアラート詳細を参照してください。

   3. [適用] をクリックします。
   4. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 ( ) Target ノードの右側にあります。
   5. Condition ノードの Action を設定する必要がある場合は、ノードの追加 ( ) をクリックします。
      詳細については、「手順」7を参照してください。
   6. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 ( )条件ノード。
      詳細については、「手順」9を参照してください。
7. Action ノードを追加して処理を設定します。
   1. Condition ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
   2. [処理設定] パネルで [Workbenchアラート] を選択し、 [極めて不審]、 [不審] 、および/または [未評価] オブジェクトに対して実行する自動対応処理を設定します。
      レスポンスアクションを実行するには、サポートサービスを構成する必要があります。詳細については、対応処理を参照してください。

      設定	説明
      一般的な処理	[ブロックリストに追加]: オブジェクトをユーザ定義の不審オブジェクトリストに追加します
      メールアクション	[なし]: メールメッセージに対して処理を実行しません [メッセージを削除]:検出されたメールボックスから対象のメールを削除します [メッセージを隔離]: 対象のメールを隔離フォルダに移動します
      ファイル操作	[ファイルを収集]: ファイルを圧縮し、アーカイブをResponse Managementアプリに送信します [Sandbox Analysisに送信]: ファイルを仮想サンドボックス環境で分析するためにSandbox Analysisアプリに送信します 注意 このアクションにはCreditsとSandbox Analysisアプリの設定が必要です。
      URL アクション	[Sandbox Analysisに送信]: URL を Sandbox Analysis アプリに送信し、仮想サンドボックス環境で分析します 注意 このアクションにはCreditsとSandbox Analysisアプリの設定が必要です。
      プロセスの処理	[プロセスを終了]:エンドポイントで実行中の「未評価」ターゲットプロセスを終了します 重要 これは「プレリリース」機能であり、公式リリースとは見なされません。を確認してください。プレリリースに関する免責事項機能を使用する前に
      ユーザアカウントの操作	[なし]: ユーザアカウントに対してアクションを実行しません [ユーザアカウントを無効化]: ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトします。ユーザは新しいセッションにサインインすることができなくなります。 [強制サインアウト]: ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。ユーザは閉じたセッションにすぐに再サインインしたり、新しいセッションにサインインしたりすることを妨げられません。 [パスワードの強制リセット]: すべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトし、次回のサインイン時に新しいパスワードを作成するように強制します
      コンテナアクション	[なし]: コンテナに対してアクションを実行しません [コンテナを隔離]: 環境からコンテナ内のプロドを隔離することで、不審な挙動の拡散を防ぎます [コンテナを終了]: ポッド内のコンテナの不審な挙動を停止するためにポッドを終了します
      クラウドアカウントの操作	[アクセス権を取り消し]: 潜在的に侵害されたAWSアカウントを持つIAMユーザのアクセス権限を取り消す 重要 このアクションは、[Cloud Response for AWS]機能が有効になっているAWSアカウントでのみ利用可能です。
      エンドポイントアクション	エンドポイントを隔離: 対象エンドポイントをネットワークから切断しますが、管理用のTrendAI™サーバ製品との通信は除きます 不正プログラムの検索: ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を管理下のエンドポイントで検索します 重要 このアクションは、TrendAI Vision One™ Endpoint SecurityエージェントとStandard Endpoint Protectionがインストールされているエンドポイントでのみ実行されます。不正プログラムの検索アクションを正常に実行するには、エンドポイントが次の要件を満たしている必要があります。 OS: WindowsまたはmacOSのみ インストールされている最小エージェントバージョン: Windows用14.0.12962およびmacOS用3.5.7812 エンドポイントのステータス: エンドポイントは除外リストに含まれていない管理されたエンドポイントであり、アクティブな検索タスクが進行中であってはなりません。 [リモートカスタムスクリプトを実行]:監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します カスタムスクリプトを実行するには、次の手順を実行します。 [ファイルの種類] ドロップダウンリストからスクリプトファイルの種類を選択します。 [ファイルをアップロード]をクリックして、ローカルからスクリプトファイルをアップロードします。次に、 [ファイル] ドロップダウンリストからスクリプトファイルを選択します。 Bashスクリプト (.sh)の場合は、スクリプトファイルの種類をアップロードする前に、オペレーティングシステムを指定します。 スクリプトに追加の入力が必要な場合は、パラメータを入力します。

   3. 対応処理を作成するための手動承認を要求する通知を送信するかどうかを選択します。

      重要 24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。

   4. 手動承認が必要な場合は、次の設定を行います。

      設定	説明
      通知方法	Email: 指定した受信者にメール通知を送信します。 Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス	通知の件名の先頭に表示されるプレフィックス
      受信者	受信者のメールアドレス メールの通知方法を選択した場合にのみ表示されます。
      Webhook	通知を受信するWebhookチャネル このフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。 ヒント Webhook接続を追加するには、ドロップダウンリストで[チャネルを作成]をクリックします。

   5. [適用] をクリックします。
   6. 複数の並列処理を追加する必要がある場合は、ノードの追加 ( ) Target または Condition ノードの右側にあります。
8. 2番目の Action ノードを追加して、通知を設定します。
   1. 最初の Action ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
   2. [処理設定] パネルで、Playbookの結果を受信者に通知する方法を指定します。
   3. メール通知とWebhook通知の場合は、次の設定を行います。

      設定	説明
      件名のプレフィックス	通知の件名の先頭に表示されるプレフィックス
      受信者	受信者のメールアドレス メールの通知方法を選択した場合にのみ表示されます。
      Webhook	通知を受信するWebhookチャネル このフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。 ヒント Webhook接続を追加するには、ドロップダウンリストで[チャネルを作成]をクリックします。

   4. ServiceNowチケット通知の場合は、次の設定を行います。

      設定	説明
      チケットプロファイル	使用するServiceNowチケットプロファイル ヒント 必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。
      チケットプロファイル設定	Playbookのチケットプロファイル設定 チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。 Assignment group: チケットを割り当てるServiceNow割り当てグループ Assigned to: チケットを割り当てるServiceNowユーザ Short description: ServiceNowに表示されるチケットの簡単な説明

      注意 Playbook実行結果に関するチケット通知を送信しても、TrendAI Vision One™でケースは開かれません。

   5. プレイブックの結果を送信するために手動承認が必要な場合は、手順に従います。 7.dをクリックして通知設定を行います。

      注意 この設定は、チケット通知処理でのみ使用できます。

   6. [適用] をクリックします。
9. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
   1. [条件]ノードの下にある追加ノード () をクリックし、[Else-If条件]または[Else処理]をクリックします。
   2. 条件ノードを設定するには、ステップ6に従ってください。アクションノードを設定するには、ステップ7またはステップ8に従ってください。

   注意 ノードの追加 ( ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。 シリアルモードで設定された複数の Action ノードは、順番に取得されます。

10. Enable コントロールをオンにして、Playbookを有効にします。
11. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。