タイプミス不法占拠ドメイン Playbook の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む1読むのに数分

    • 次のステップは、Typo Squatted Domain Playbook で利用可能なアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 で観測事象が Security Incident Response (SIR) に追加されているかどうかを確認する必要があります。
      観測事象が SIR に追加されていない場合は、続行する前に観測事象を追加してください。観測事象が利用できない場合は、ステップ 10 が実行され、セキュリティインシデントがクローズされます。
    2. ステップ 2 で、観測事象がセキュリティインシデントに追加されると、次のステップが実行されます。
    3. ステップ 3 では、Typo Squatted ドメインのスクリーンショットをセキュリティインシデントに添付する必要があります。
      図 : 1. タイプミス不法占拠ドメイン Playbook
      観測事象がセキュリティインシデントに追加されているかどうかを確認する応答タスク。
    4. ステップ 4 では、セキュリティインシデントに Whois 情報を添付する必要があります。
    5. ステップ 5 では、これまでに行われた調査に基づいて、Playbook はこれがタイプミス不法占拠ドメインのケースであるかどうかを確認します。
      これがタイプミス不法占拠ドメインのケースでない場合は、ステップ 5 で手動応答タスクが作成され、フローが終了します。
    6. ステップ 6 で、これがタイプミス不法占拠ドメインの場合、ステップ 7 が実行されます。
    7. ステップ7では、これがタイプミス不法占拠ドメインのケースであることを法務チームおよびその他の必要なチームに電子メールで送信して通知し、それを根絶するために必要な手順を実行する必要があります。
      これがタイプミス不法占拠ドメインのケースでない場合は、ステップ 5 で手動応答タスクが作成され、フローが終了します。
      図 : 2. タイプミス不法占拠ドメインのケース
      これがタイプミスの場合の応答タスク 不法占拠ドメイン
    8. ステップ 9 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。