TISC プレイブックテンプレート
このセクションでは、TISC Sentinel ソリューションに付属するプレイブックテンプレートについて説明します。
| ユースケース | プレイブック | 説明 |
|---|---|---|
| TISC から Sentinel への観測事象のインポート | Batch_Indicator_Uploader | Microsoft Sentinel が提供するアップロードのインジケーター API を使用して TISC から観測事象をエクスポートするためのバッチ処理メカニズムを提供します。 |
| Import_Observables_Batch | TISC からの観測事象のスケジュール済みエクスポートを有効にします。 | |
| Sentinel から TISC へのエンティティのエクスポート | Export_Incident_Entities | Sentinel インシデントのすべてのエンティティをエクスポートします。 |
| Export_Hash_Entity | Sentinel インシデントのファイルハッシュエンティティをエクスポートします。 | |
| Export_Domain_Entity エンティティ | Sentinel インシデントのドメインエンティティをエクスポートします。 | |
| Export_IP_Entity | Sentinel インシデントの IP エンティティをエクスポートします。 | |
| Export_URL_Entity | Sentinel インシデントの URL エンティティをエクスポートします。 | |
| Sentinel インシデントの拡張 | Incident_Enrichment | Sentinel インシデントに関連付けられたエンティティ関連の詳細を取得し、インシデントに関するコメントの形式で情報を投稿することで、Sentinel インシデントの拡張を有効にします。 |
注:
すべてのプレイブックは、TISC カスタムコネクタを内部的に使って TISC API を使用します。
テンプレートからプレイブックを作成する
- Sentinel ワークスペースのコンテンツハブから [TISC ソリューション (TISC Solution)] コンテンツページに移動します。
- コンテンツページに表示されているプレイブックごとに、次の操作を行います。
- プレイブックテンプレートを選択し、画面の右側にコンテキストペインが表示されたら、[構成] をクリックします。
- プレイブックテンプレートの説明を読み、説明に記載されている前提条件と展開後の手順を実行します。
- [カスタムコネクタの展開 (Deploy custom connector)] をクリックします (カスタムコネクタをまだ展開していない場合)。
[展開構成] ページで ServiceNow インスタンスの URL を追加します。
- [プレイブックを作成 (Create Playbook)] をクリックすると、展開構成画面が表示されます。
- [プレイブック構成の作成 (Create playbook configuration)] 画面で、次の操作を行います。
- 適切なリソースグループを選択します。
- プレイブック名を変更するか、デフォルト名を使用します。
- [パラメーター] セクションでカスタムコネクタ名を指定します (前の手順で展開したコネクタの名前と一致していることを確認してください)。
- [確認して作成 (Review and Create)] をクリックします。
Import_Observables_Batch プレイブックの構成
Import_Observables_Batch プレイブックを作成する前に、必ず Batch_Indicator_Uploader プレイブックを作成してください。
- 移動先 プレイブックを編集します。
- 必要に応じて繰り返し時間 (時間) を更新します。
- プレイブック内の TISC カスタムコネクタのコンポーネントから、TISC API に送信されるパラメーターを更新します。
パラメーター名 説明 観察事項タイプ サポートされているタイプは次のとおりです。1 つ以上を選択してください。 - IP
- ファイルハッシュ
- ドメイン
- URL
脅威スコア 観測事象の脅威スコアを入力します。脅威スコア値は 0~100 の範囲にする必要があります。 信頼性 観測事象の信頼度を入力します。 信頼度値は 0~100 の範囲にする必要があります。
評判 サポートされている値は次のとおりです。1 つ以上を選択してください。 - クリーン
- 悪意がある
- 不審
- 不明
脅威の重大度 サポートされている重大度レベルは次のとおりです。1 つ以上を選択してください。 - 重大
- 高
- 中
- 低
脅威レベル サポートされている脅威レベルは次のとおりです。1 つ以上を選択してください。 - 高
- 中
- 低
最後に更新されたデルタ (時間) (Last Updated Delta in Hours) 観測事象の最終更新時間 (時間単位)。
Export_Incident_Entities プレイブックの構成
このプレイブックでは、TISC 観測事象の追加 API を使用します。ロジックアプリデザイナーを使用して、プレイブックから API に送信されるパラメーターを編集できます。詳細については、TISC API - POST /sn_sec_tisc/threat_intel_data/add_observables を参照してください。
以下に挙げる、さまざまなタイプのエンティティをエクスポートするプレイブックすべてについて、同じ手順を実行できます。
- Export_Hash_Entity
- Export_Domain_Entity
- Export_IP_Entity
- Export_URL_Entity
Incident_Enrichmentプレイブックの構成
このプレイブックでは、TISC 観測事象 API を使用します。ロジックアプリデザイナーを使用して、プレイブックから API に送信されるパラメーターを編集できます。詳細については、TISC API - POST /sn_sec_tisc/threat_intel_data/observables を参照してください。
プレイブックの実行
次の表で、以下のプレイブックの実行方法を説明します。
| プレイブック | アクション |
|---|---|
| Import_Observables_Batch | このプレイブックは、繰り返しトリガーに記載されている予定時刻に基づいて自動的に実行されます。 |
| Export_Incident_Entities | Sentinel インシデントで、 実行用。 |
| Export_Hash_Entity | Sentinel インシデントで、 実行用。 |
| Export_Domain_Entity | Sentinel インシデントで、 実行用。 |
| Export_IP_Entity | Sentinel インシデントで、 実行用。 |
| Export_URL_Entity | Sentinel インシデントで、 実行用。 |
| Incident_Enrichment | Sentinel インシデントで、 実行用。 |