プレイブックによるセキュリティの脅威の解決

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:10分

    • 特定のタイプのセキュリティ脅威を段階的な方法で解決するためのプレイブックを使用します。たとえば、プレイブックを使用して、悪意のあるコードアクティビティによって発生するフィッシング攻撃および脅威を解決できます。

    始める前に

    必要なロール:sn_si.admin または admin

    このタスクについて

    各タスクグループ (アナリティクス、封じ込めなど) で、脅威を解決するための一連の質問および他のアクティビティを説明します。
    図 : 1. プレイブック
    プレイブックの例

    各タスクを進めるときに作業メモを入力しておくと、今後類似した攻撃を分析するのに役立ちます。脅威の特定後、プレイブックの情報を使用して脅威を隔離し、同様に影響を受ける資産を分離し、マルウェアを削除することもできます。

    各タスクに含まれるナレッジ記事には、必要な手順を実行するためのヒントやその他の情報が記載されています。
    図 : 2. ナレッジ記事
    フィッシングタスクをサポートするナレッジ記事

    ベースシステムには、各プレイブックタスクのナレッジ記事が含まれています。ただし、独自のナレッジ記事を作成してプレイブックタスクに関連付けることができます。

    注:
    プレイブックを使用して特定の脅威を分析および解決する方法の例については、「プレイブックを使用したユーザーから報告されたフィッシング攻撃の解決」を参照してください。

    手順

    1. 移動先 すべて > セキュリティインシデント > インシデント (新規 UI).
      [セキュリティインシデント] 画面には、自分にアサインされているセキュリティインシデントが表示されます。
      セキュリティインシデント
    2. [自分にアサイン済み] 選択リストをクリックすると、すべてのオープンインシデントやすべての未アサインインシデントなどの別のフィルターを選択できます。
      または、クイックフィルターのいずれかをクリックすると、最重要のインシデントなど、特定のタイプのセキュリティインシデントを表示できます。
    3. 分析したいセキュリティインシデントをクリックします。

      リスクスコアが高いセキュリティインシデントを優先することを検討してください。

    4. 画面の右端にあるプレイブックペインが閉じている場合は、プレイブックアイコン (プレイブック) をクリックして開きます。
      セキュリティインシデントにプレイブックが割り当てられていない場合は、次に示すように、[選択されたプレイブック] 選択リストからプレイブックを選択できます。

      プレイブックの選択
      セキュリティインシデントに別のプレイブックを割り当てることもできます。[選択されたプレイブック] 選択リストにプレイブックを追加したり、セキュリティインシデントのプレイブックを変更したりする方法については、「アナリスト向け Playbook の有効化」を参照してください。

      セキュリティの脅威のタイプに固有のプレイブックが開きます。類似するタスクのカテゴリに分割されています。たとえば、[分析] グループのタスクを使用して、脅威の有効性と範囲を判断します。[封じ込め] グループには、脅威を特定のユーザーまたは資産に隔離するためのタスクが含まれています。[除去] グループのタスクは、マルウェアの削除またはホストの再イメージ化の手順を示します。

    5. 最初のグループ ([アナリティクス]) をクリックしてから、プレイブックの最初のタスクをクリックします。
    6. タスクのプロンプトに従います。
      • 一部のタスクでは、「メールはキャンペーンの一部ですか?(Is Email Part of Campaign?)」などの質問が尋ねられます。必要な分析を実行し、[はい] または [いいえ] を選択して質問に回答します。
      • ナレッジ記事を定義してプレイブックタスクに関連付けると、タスクの作業を開始したときに記事が表示されます。
      • 一部に過渡的なタスクもあります。それらは、観測事象をセキュリティインシデントに追加するなど、特定のアクションを実行するように指示するだけです。アクションを完了したら、[完了としてマーク] をクリックします。
      タスクを完了すると、行った選択に基づいて続きのタスクが提示されます。グレー表示されているグループ ([復旧][レビュー] など) も選択によってアクティブ化される場合があります。
    7. すべてのタスクを完了し、脅威を解決してセキュリティインシデントをクローズするまで、提示された各タスクの作業を続けます。

    プレイブックを使用したユーザーから報告されたフィッシング攻撃の解決

    フィッシングプレイブックは、会社の従業員の 1 人によって報告されたフィッシング攻撃を分析および解決するために必要なタスクをガイドします。

    ユーザーから報告されたフィッシング攻撃からセキュリティインシデントを作成する方法

    セキュリティインシデントレスポンスのセットアップ中、システムアドミニストレーターは、フィッシング攻撃の兆候を含むメールを特定できる一連のメール一致ルールを作成します。(セキュリティポリシーで定義されている) フィッシング攻撃の一般的な兆候を含む不審なメールを受信した場合、従業員は、それを組織で定義されたフィッシングメールアドレスに .EML 添付ファイルとして送信できます。

    フィッシングメールアドレスでメールが受信されると、.EML 添付ファイルが解析され、その情報がメール一致ルールと比較されます。一致が見つかった場合、次の情報を含むセキュリティインシデントが作成されます。
    • 簡単な説明には、「ユーザーから報告されたフィッシング (User Reported Phishing)」が含まれ、その後に送信元メールの実際の件名が続きます。
    • .EML ファイルがセキュリティインシデントに添付されます。
    • .EML に観測事象が含まれている場合は解析され、拡張と脅威のルックアップが自動的に実行されます。
    図 : 3. ユーザーから報告されたフィッシング
    ユーザーから報告されたフィッシングセキュリティインシデント
    フィッシングカテゴリのセキュリティインシデントが開かれると、フィッシングプレイブックが自動的に利用可能になります。プレイブックアイコン (プレイブック) をクリックするだけでプレイブックが開きます。
    図 : 4. フィッシングプレイブック
    [フィッシングプレイブック] ペイン

    フィッシングプレイブックには、フィッシングの脅威を分析、封じ込め、根絶するのに役立つタスクが含まれています。タスクは状況に整理されます (たとえば、[分析][封じ込め])。あるステータスのすべてのタスクが完了すると、プレイブックによって次のステータスにガイドされます。

    セキュリティインシデントの詳細の分析

    セキュリティインシデントのステータスが [分析] の場合は、次のようなインシデントの基本的な調査を実行するタスクが与えられます。
    • インシデントの有効性を判断する。
    • 潜在的な脅威の影響度を調査する。
    • インシデントへの効果的な応答を調整する。
    タスクを実行する場合:
    • ナレッジ記事をよく理解する。
    • メールの添付ファイルを開き、一般的なフィッシング要素の兆候を調べる。
    • 脅威のルックアップの結果を確認する。

    セキュリティインシデントの封じ込め

    セキュリティインシデントのステータスが [封じ込め] の場合は、メールの詳細を確認するタスクが与えられます。脅威が組織に侵入できないようにするには、侵入防御システム (IDS) および侵入防止システム (IPS) の署名とルールの形でネットワーク防御を更新します。

    タスクを実行する場合:
    • 影響を受けたデバイスを隔離するなど、脅威の影響を制限するアクションを実行する。
    • メールに添付された観測事象を確認する。
    • いずれかのメールコンテンツが次を含む既知の脅威に関連付けられているかどうかを確認する。
      • URL
      • メール送信者
      • フィッシング URL
      • 送信者の SMTP サーバーの IP アドレス

    マルウェアの根絶

    更新された署名とルールをウイルス対策ソリューションに展開したら、[根絶] ステータスのタスクを使用して、マルウェアが存在するかどうかを判断し、それに応じて処理します。

    タスクを実行する場合:
    • 影響を受けるデバイスのエンドポイントをスキャンして、マルウェアの存在を確認する。
    • 検出されたマルウェアを削除する。
    • 最後の手段として、ホストデバイスをワイプして再イメージ化する。

    セキュリティインシデントのレビュー

    分析タスクの実行時にフィッシング攻撃が誤報であったと判断した場合、セキュリティインシデントは [レビュー] ステータスに移行します。この場合、メールの添付ファイルを開いても安全であることをユーザーに知らせる必要があります。

    セキュリティインシデントのクローズ

    プレイブックのすべてのタスクが完了すると、セキュリティインシデントは [クローズ] 状況に移行します。インシデントをクローズする前に、クローズコメントを入力する必要があります。

    セキュリティインシデントのキャンセル

    セキュリティインシデントのステータスが [レビュー] のときにメールが脅威ではないことをユーザーに正常に通知すると、[キャンセル] ステータスがアクティブになり、セキュリティインシデントをキャンセルできます。

    注:
    復旧タスクはフィッシングプレイブック では使用されません。

    ナレッジ記事とプレイブックタスクの関連付け

    組織で各タスクのナレッジ記事が定義されている場合、セキュリティインシデントレスポンス プレイブックを使用してセキュリティ上の脅威を分析すると、それらの記事を表示できます。ナレッジ記事が存在しない場合は、作成してプレイブックタスクに関連付けることができます。

    始める前に

    セキュリティインシデントレスポンス で プレイブックを使用するときは、各タスクに関連付けられたテキストをメモします。たとえば、フィッシングカテゴリの最初のタスクは [従業員が送信したアラートでしたか?(Was Alert Employee-Submitted?)] です。これはタスクの簡単な説明です。ナレッジ記事をタスクに関連付けるには、このテキスト (プレイブックに表示されるとおりのテキスト) が必要です。

    必要なロール:sn_sir.knowledge_admin、および sn_si.admin または admin

    手順

    1. 移動先 すべて > セキュリティインシデント > カタログとナレッジ > ナレッジ.
    2. 特定のプレイブックタスクのナレッジ記事を作成して公開します。
    3. 移動先 セキュリティインシデント > 手動 Runbook > 新しい Runbook を作成.
    4. 次の情報を入力して Runbook を作成します。
      フィールド 説明
      ナレッジ記事 プレイブックタスクに関連付ける公開済みのナレッジ記事を選択します。
      テーブル セキュリティインシデントレスポンス タスク [sn_si_task] を選択します。
      条件 条件ビルダーを次のように設定します。
      • オプション:[簡単な説明] を選択します。
      • 演算子:[次の値に等しい (is)] を選択します。
      • 入力値:プレイブックに表示されるとおりに、タスクの簡単な説明を入力します。
    5. [Submit] をクリックします。
      次回プレイブックを実行してこのタスクを選択すると、関連付けられたナレッジ記事が表示されます。

    プレイブックへのカスタムタスクの追加

    セキュリティアナリストワークスペースベースシステムには、各脅威カテゴリの一連のタスクが含まれています。システムまたは顧客の独自のニーズを満たすカスタムタスクを作成できます。

    始める前に

    必要なロール:sn_si.basic または security_admin

    手順

    1. プレイブックを開いた状態で、[ タスクを追加] を選択します。
      [カスタムタスクを追加] 画面が開きます。
    2. 必要に応じて、フィールドに入力します。
      フィールド 説明
      数値 [読み取り専用] 自動的に生成されるセキュリティインシデントタスク番号。
      関連するセキュリティインシデントの番号。
      構成アイテム セキュリティ上の問題の影響を受ける構成アイテム (存在する場合)。
      影響を受けるユーザー セキュリティ上の問題の影響を受けるユーザー (存在する場合)。
      優先度 このタスクをいつ実行するかを決定するために使用される優先度を選択します。
      セキュリティインシデントのステータス セキュリティ応答タスクの現在のステータス。必要に応じて将来のステータスを選択できます。
      結果タイプ sn_si.basic ロールを持っている場合は、結果タイプとして [はい/いいえ] を選択します。

      security_admin ロールを持っている場合は、複数のカスタム出力値を持つカスタム結果タイプを作成できます。たとえば、脅威カテゴリに基づく依存値を持つタスクを定義できます。詳細については、「 選択リスト」を参照してください。
      アサイン先グループ アサインされるワーカーが選択されるアサイン先グループ。
      アサイン先 タスクを実行するようアサインされる個人。
      簡単な説明 セキュリティインシデントプレイブックタスクの説明。
      説明 選択したタスクの説明を入力します。
    3. 入力が完了したら、[ タスクを追加] を選択します。
      タスクは、現在のタスクに続いてプレイブックに挿入されます。