ビュー:

AI生成の要約を使用して、ケースを開いたり更新したり、メール通知を送信することで、Workbenchインサイトの進行状況を関係者に自動的に通知します。

Workbench Insight Progression Update Playbookは、Workbenchのインサイトが生成または更新された際にステークホルダーに自動的に通知することで、セキュリティチームのコミュニケーションを効率化し、対応を迅速化します。このPlaybookは、インサイトのためにケースを開いたり更新したりし、指定された受信者にインサイト情報のメール通知を送信することができます。通知とケースの更新には、インサイトの生成AIによる要約を含めることができ、情報に基づいた意思決定をサポートするための明確で文脈に沿った情報を提供します。Playbookは、スコア、攻撃フェーズ、アラートの重大度、またはケースのステータスに基づいて特定のインサイトをターゲットにするように設定できます。
XDR Threat Investigationの権限が有効になっており、次の必要なデータソースが設定されている必要があります: XDR Endpoint SensorまたはXDR Email Sensorを使用してAutomated Response Playbooksを作成します

手順

  1. [Workflow and Automation][Security Playbooks] に移動。
  2. オンPlaybookタブで、追加プレイブックの作成
  3. [Playbookの設定]パネルで[XDR検出]タイプを選択し、Playbookの一意の名前を指定して[適用]をクリックします。
  4. [トリガ設定]パネルで、トリガータイプとして[自動または手動 (Workbenchから実行)]または[手動 (Workbenchから実行)]を選択し、[適用]をクリックします。
    • 自動または手動 (Workbenchから実行): Workbenchインサイトは自動的にPlaybookの実行をトリガーします。インサイトが生成または更新されるたびに、Playbookがトリガーされます。Workbenchから手動でPlaybookの実行をトリガーすることもできます。
      [Execute playbook automatically only during specified period]を選択し、自動実行の曜日と時間帯を指定してください。
      注意
      注意
      [トリガ設定]で最大10セットの日と時間帯を指定できます。
    • 手動 (Workbenchから実行): WorkbenchからPlaybookの実行を手動でトリガーする必要があります。
  5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
    1. [対象]ドロップダウンリストで[Workbench insight]を選択してください。
    2. [Alert severity within insight] ドロップダウンメニューで、進行通知が必要なWorkbenchインサイトのアラートの重大度レベルを選択します。
    3. 特定のスコア範囲内のWorkbenchインサイトに対してのみPlaybookアクションをトリガーしたい場合は、[Filter insights by score]を選択し、ドロップダウンリストから範囲を選択するか、カスタム範囲を設定してください。
    4. 特定の攻撃フェーズに関連付けられたWorkbenchインサイトに対してのみPlaybookアクションをトリガーしたい場合は、[Filter insights by attach phase]を選択し、ドロップダウンリストから攻撃フェーズを選択してください。
    1. [対象] ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 [条件]をクリックします。
    2. ParameterOperator、および Valueを指定して、条件設定を作成します。
      設定
      説明
      パラメータ
      次のオプションのいずれかをパラメータとして指定してください。
      • ケース
      • Insight score
      • 攻撃段階
      • Alert severity within insight
      オペレータ
      • IS: いずれかの値が一致した場合に条件がトリガーされます。
      • [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
      パラメータ値を指定してください。
    3. [適用] をクリックします。
    4. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target ノードの右側にあります。
    5. Condition ノードの Action を設定する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックします。
      詳細については、手順7を参照してください。
    6. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png )条件ノード。
      詳細については、手順9を参照してください。
  6. Action ノードを追加して処理を設定します。
    1. Condition ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定]パネルで、対象のWorkbenchインサイトに対して実行されるケース関連のアクションを設定します。
      処理
      設定
      新しいケースを開く
      1. 新しいケースにインサイトの生成AIによる要約を含めるには、[Turn on Generative AI]をクリックし、[Workbench insight summary]を選択します。
      2. 他のケースから関連するコンテンツをインポートするには、[Import case contents from cases with correlated alerts]を選択してください。
      3. ケースに優先度を割り当てるには、[Assign case priority]を選択し、優先度を選択してください。
      4. Trend Vision Oneからケースの所有者を指定するには、[Assign Trend Vision One case owners]を選択し、[所有者]ドロップダウンリストから所有者を選択します。
      注意
      注意
      ターゲットWorkbenchインサイトに対して既にケースが存在する場合、新しいケース設定が既存のケースを上書きします。
      既存のケースを更新
      1. 利用可能なオプションからケースの新しいステータスを選択してください。
        • 実行する
        • 処理中
        • クローズ
      2. ケースに関連する該当する所見を選択してください。
        • 真陽性
        • 無害な検出
        • 誤検出
        • 注目すべき検出
        • その他の検出結果
      3. 追加情報やメモがある場合は、[注釈] テキストボックスに入力してください。
    3. [適用] をクリックします。
    4. 複数の並列処理を追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target または Condition ノードの右側にあります。
  7. 2番目の Action ノードを追加して、通知を設定します。
    1. 最初の Action ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定]パネルで、インサイト情報の受信者への通知方法を指定します。
      処理
      設定
      インサイト情報のメール通知を送信する
      1. 通知件名の先頭に表示されるプレフィックスを指定してください。
      2. メール通知にインサイトの生成AIによる要約を含めるには、[Turn on Generative AI]をクリックし、[Workbench insight summary]を選択してください。
      3. 展開されたWorkbenchインサイトの詳細を添付ファイルと共に含めるには、[Attachments of alert list][Attachments of impact scope][Attachments of highlighted objects]を選択してください。
      4. 受信者のメールアドレスを指定してください。
    3. [適用] をクリックします。
  8. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
    1. [条件]ノードの下にある追加ノード (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) をクリックし、[Else-If条件]または[Else処理]をクリックします。
    2. 条件ノードを構成するには手順6に従ってください。アクションノードを構成するには手順7または手順8に従ってください。
    注意
    注意
    • ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。
    • 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
    • シリアルモードで設定された複数の Action ノードは、順番に取得されます。
  9. Enable コントロールをオンにして、Playbookを有効にします。
  10. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。