AI生成の要約を使用して、ケースを開いたり更新したり、メール通知を送信することで、Workbenchインサイトの進行状況を関係者に自動的に通知します。
Workbench Insight Progression Update Playbookは、Workbenchのインサイトが生成または更新された際にステークホルダーに自動的に通知することで、セキュリティチームのコミュニケーションを効率化し、対応を迅速化します。このPlaybookは、インサイトのためにケースを開いたり更新したりし、指定された受信者にインサイト情報のメール通知を送信することができます。通知とケースの更新には、インサイトの生成AIによる要約を含めることができ、情報に基づいた意思決定をサポートするための明確で文脈に沿った情報を提供します。Playbookは、スコア、攻撃フェーズ、アラートの重大度、またはケースのステータスに基づいて特定のインサイトをターゲットにするように設定できます。
XDR Threat Investigationの権限が有効になっており、次の必要なデータソースが設定されている必要があります: XDR Endpoint SensorまたはXDR
Email Sensorを使用してAutomated Response Playbooksを作成します
手順
- に移動。
- オンPlaybookタブで、。
- [Playbookの設定]パネルで[XDR検出]タイプを選択し、Playbookの一意の名前を指定して[適用]をクリックします。
- [トリガ設定]パネルで、トリガータイプとして[自動または手動 (Workbenchから実行)]または[手動 (Workbenchから実行)]を選択し、[適用]をクリックします。
-
自動または手動 (Workbenchから実行): Workbenchインサイトは自動的にPlaybookの実行をトリガーします。インサイトが生成または更新されるたびに、Playbookがトリガーされます。Workbenchから手動でPlaybookの実行をトリガーすることもできます。[Execute playbook automatically only during specified period]を選択し、自動実行の曜日と時間帯を指定してください。
注意
[トリガ設定]で最大10セットの日と時間帯を指定できます。 -
手動 (Workbenchから実行): WorkbenchからPlaybookの実行を手動でトリガーする必要があります。
-
- [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
- [対象]ドロップダウンリストで[Workbench insight]を選択してください。
- [Alert severity within insight] ドロップダウンメニューで、進行通知が必要なWorkbenchインサイトのアラートの重大度レベルを選択します。
- 特定のスコア範囲内のWorkbenchインサイトに対してのみPlaybookアクションをトリガーしたい場合は、[Filter insights by score]を選択し、ドロップダウンリストから範囲を選択するか、カスタム範囲を設定してください。
- 特定の攻撃フェーズに関連付けられたWorkbenchインサイトに対してのみPlaybookアクションをトリガーしたい場合は、[Filter insights by attach phase]を選択し、ドロップダウンリストから攻撃フェーズを選択してください。
- [対象] ノードの右側にあるノードの追加 (
) をクリックし、 [条件]をクリックします。 - Parameter、 Operator、および Valueを指定して、条件設定を作成します。設定説明パラメータ次のオプションのいずれかをパラメータとして指定してください。
-
ケース
-
Insight score
-
攻撃段階
-
Alert severity within insight
オペレータ-
IS: いずれかの値が一致した場合に条件がトリガーされます。
-
[次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
値パラメータ値を指定してください。 -
- [適用] をクリックします。
- 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 ( ) Target ノードの右側にあります。
- Condition ノードの Action を設定する必要がある場合は、ノードの追加 ( ) をクリックします。詳細については、手順7を参照してください。
- else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 ( )条件ノード。詳細については、手順9を参照してください。
- [対象] ノードの右側にあるノードの追加 (
- Action ノードを追加して処理を設定します。
- Condition ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
- [処理設定]パネルで、対象のWorkbenchインサイトに対して実行されるケース関連のアクションを設定します。処理設定新しいケースを開く
-
新しいケースにインサイトの生成AIによる要約を含めるには、[Turn on Generative AI]をクリックし、[Workbench insight summary]を選択します。
-
他のケースから関連するコンテンツをインポートするには、[Import case contents from cases with correlated alerts]を選択してください。
-
ケースに優先度を割り当てるには、[Assign case priority]を選択し、優先度を選択してください。
-
Trend Vision Oneからケースの所有者を指定するには、[Assign Trend Vision One case owners]を選択し、[所有者]ドロップダウンリストから所有者を選択します。
注意
ターゲットWorkbenchインサイトに対して既にケースが存在する場合、新しいケース設定が既存のケースを上書きします。既存のケースを更新-
利用可能なオプションからケースの新しいステータスを選択してください。
-
実行する
-
処理中
-
クローズ
-
-
ケースに関連する該当する所見を選択してください。
-
真陽性
-
無害な検出
-
誤検出
-
注目すべき検出
-
その他の検出結果
-
-
追加情報やメモがある場合は、[注釈] テキストボックスに入力してください。
-
- [適用] をクリックします。
- 複数の並列処理を追加する必要がある場合は、ノードの追加 ( ) Target または Condition ノードの右側にあります。
- Condition ノードの右側にあるノードの追加 (
- 2番目の Action ノードを追加して、通知を設定します。
- 最初の Action ノードの右側にあるノードの追加 ( ) をクリックし、 Actionをクリックします。
- [処理設定]パネルで、インサイト情報の受信者への通知方法を指定します。処理設定インサイト情報のメール通知を送信する
-
通知件名の先頭に表示されるプレフィックスを指定してください。
-
メール通知にインサイトの生成AIによる要約を含めるには、[Turn on Generative AI]をクリックし、[Workbench insight summary]を選択してください。
-
展開されたWorkbenchインサイトの詳細を添付ファイルと共に含めるには、[Attachments of alert list]、[Attachments of impact scope]、[Attachments of highlighted objects]を選択してください。
-
受信者のメールアドレスを指定してください。
-
- [適用] をクリックします。
- 最初の Action ノードの右側にあるノードの追加 (
- 必要に応じて、 Else-If Conditions または Else Actions を設定します。
- [条件]ノードの下にある追加ノード () をクリックし、[Else-If条件]または[Else処理]をクリックします。
- 条件ノードを構成するには手順6に従ってください。アクションノードを構成するには手順7または手順8に従ってください。
注意
-
ノードの追加 ( ) は、前のノードによって異なります。たとえば、 [処理] ノードの後に別の [処理] ノードが続く可能性があります。 [条件] ノードの後に [処理] ノードを配置することも、 [Else-If条件] または [Else処理] を接続することもできます。
-
条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
-
シリアルモードで設定された複数の Action ノードは、順番に取得されます。
- [条件]ノードの下にある追加ノード (
- Enable コントロールをオンにして、Playbookを有効にします。
- [保存] をクリックします。プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。