このプレイブックを使用して、スペルミスのあるドメインを調査し、組織の法務部門と協力して削除を行います。以下に示すステップは、タイポスクワッティングドメインプレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。
始める前に
必要なロール:
- sn_si.admin
- flow_designer
セキュリティオペレーション スポーク (sn_sec_spoke) がインストールされていることを確認します。
手順
-
プレイブックがトリガーされて実行が開始されたら、アクション 1 で、観測事象がセキュリティインシデントレスポンス (SIR) に追加されているかどうかを確認する必要があります。
観測事象が SIR に追加されていない場合は、続行する前に観測事象を追加してください。観測事象が利用できない場合は、アクション 10 が実行され、セキュリティインシデントがクローズされます。
-
アクション 2 では、観測事象がセキュリティインシデントに追加された場合に、次のアクションが実行されます。
-
アクション 3 では、セキュリティインシデントへのタイポスクワッティングドメインのスクリーンショットを添付する必要があります。
-
アクション 4 では、セキュリティインシデントに Whois 情報を添付する必要があります。
-
アクション 5 では、これまでに行った調査に基づいて、プレイブックはこれがタイポスクワッティングドメインのケースであるかどうかを確認します。
これがタイポスクワッティングドメインのケースでない場合は、アクション 5 で手動応答タスクが作成され、フローが終了します。
-
アクション 6 では、これがタイポスクワッティングドメインである場合に、アクション 7 が実行されます。
-
アクション 7 では、これがタイポスクワッティングドメインのケースであることを法務チームおよびその他の必要なチームにメール送信して通知し、それを根絶するために必要なアクションを実行する必要があります。
これがタイポスクワッティングドメインのケースでない場合は、アクション 5 で手動応答タスクが作成され、フローが終了します。
-
アクション 9 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。