セキュリティインシデント - 応答タスクの結果の評価 (Evaluate response task outcome) ワークフロー
セキュリティインシデント - 応答タスクの結果の評価 (Evaluate response task outcome) ワークフローは、使用するタスクを決定し、選択したワークフローへの入力として指定された結果エバリュエーターレコードに基づいて、選択したワークフローと評価スクリプトを呼び出します。
始める前に
必要なロール:sn_si.write
このタスクについて
このワークフローは、評価対象のタスク作成アクティビティと同時に実行されます。評価スクリプトは、構成された機能のアーティファクト (サイティング検索レコードや実行中のプロセスなど) を照会します。応答タスクからのコンテキスト情報 (親セキュリティインシデントなど) を使用して、適切な結果を決定します。結果は一般的に「はい」または「いいえ」ですが、ワークフローアクティビティによって異なる場合があります。結果エバリュエーターレコードの作成時には、ワークフローが構成済みで、[ タスクに基づく機能である] チェックボックスがオンになっており、タスク入力変数が設定されている機能のみを選択できます。
手順
ワークフロープロセスアクティビティとワークフロー図を確認します。
図 : 1. 応答タスクの結果の評価
ワークフローには、次のプロセスアクティビティが含まれています。
- スクリプトを実行 - 応答タスクを決定 (Determine response task)
- 実行要不要 (Should Run) ワークフロー
- パラレルフローランチャー - 機能の起動 (Launch Capability) ワークフロー
- 評価イベントを作成