子セキュリティインシデント自動化用 Playbook
重複するセキュリティインシデントは子セキュリティインシデントとして分類され、親セキュリティインシデントにロールアップされます。
子セキュリティインシデント自動化 Playbook は、重複するセキュリティインシデントの調査とクローズに必要な時間を短縮するのに役立ちます。この Playbook は、子セキュリティインシデントの特定の一意のアーティファクト (観測事象、影響を受けるユーザー、CI) を親セキュリティインシデントに自動的にロールアップします。
必須条件
必要なロール:
- sn_si.admin
- flow_designer
スポーク:Security Operations スポークのインストール (sn_sec_spoke)
主な機能
子自動化 Playbook は次の機能をカバーしています。
- セキュリティインシデントを分析ステージに移動する。
- 重複を排除し、影響を受けるユーザーと CI を親セキュリティインシデントに追加 (ロールアップ) する。
- 子インシデントから親セキュリティインシデントに観測事象を追加する。
- 親セキュリティインシデントがクローズされたときに、子セキュリティインシデントをクローズまたはキャンセルする。
必要な機能
詳細については、「 ServiceNow Store 」を参照してください。
セキュリティアナリストエクスペリエンス
セキュリティの脅威を段階的に解決する方法については、「」を参照してください Playbook によるセキュリティの脅威の解決。
Flow Designer の機能を使用した子セキュリティインシデント自動化 Playbook の詳細
はじめに
- sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
- 移動先 ログイン失敗 Playbook をクリックします。
- 子セキュリティインシデント自動化 Playbook のコピーを作成し、必要な変更を行います。(これはオプションのステップです。フローをカスタマイズまたは変更する場合にのみ、このステップを実行します)。
- 要件に応じて必要な変更を行います。(これはオプションのステップです。フローをカスタマイズまたは変更する場合にのみ、このステップを実行します)。
- Playbook をアクティブ化します。
- ベースシステムで利用可能な Playbook を使用するには、メインフローをアクティブ化します。
- 要件に応じて変更を加えた後、コピーしたフローをアクティブ化します。
次の画像は、子セキュリティインシデント自動化 Playbook のコピーを示しています。以下の手順では、Playbook でのさまざまなアクションについて説明しています。
この Playbook は、次の場合にトリガーされます。
- 親セキュリティインシデントフィールドが空でない。
- 親セキュリティインシデントのステータスが [ドラフト]、[分析]、[封じ込め]、または [根絶] である。
次のステップでは、子セキュリティインシデント自動化 Playbook で利用可能なアクションとタスクについて説明します。
- Playbook の実行が開始されると、ステップ 1 でセキュリティインシデントが [ドラフト] ステータスの場合は更新され、[分析] ステータスに設定されます。
- ステップ 2 および 3 では、セキュリティインシデントの影響を受けるユーザーが取得され、親セキュリティインシデントにロールアップされます。重複するユーザーは削除されます。
- ステップ 4 および 5 では、子セキュリティインシデントに関連付けられた構成アイテムが取得され、一意の CI が親セキュリティインシデントにロールアップされます。
- ステップ 6 および 7 では、子セキュリティインシデントに関連付けられた観測事象が取得され、一意の観測事象が親セキュリティインシデントにロールアップされます。
- ステップ 8 および 9 では、影響を受けるユーザー、構成アイテム、および観測事象が子セキュリティインシデントから親セキュリティインシデントにロールアップされたことを示す自動作業メモが親および子のセキュリティインシデントに投稿されます。