セキュリティインシデント Playbook

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • セキュリティインシデント Playbook フローを自動または手動で呼び出します。

    Playbook は、少なくとも 1 つの Playbook がセキュリティインシデントに関連付けられている場合にのみ表示されます。Playbook コンポーネントは、Process Automation Designer (PAD) で構築されたプロセスでのみ機能し、Flow Designer で構築されたフローでは機能しません。既存のフローデザイナーが有効になっている場合は引き続き機能し、アクティビティは応答タスクとして引き続きレンダリングされます。

    Playbook をセキュリティインシデントに関連付けるには、次の 2 つの方法があります。
    • Playbook を自動的に呼び出す
    • Playbook を手動で追加する

    Playbook を自動的に呼び出す

    Playbook を自動的に呼び出すには、[Process Automation Designer (PAD)] を使用してプロセスを定義する必要があります。トリガー条件が満たされると、Playbook のタブが自動的にレンダリングされ、Playbook アクティビティが表示されます。

    Playbook を手動で追加する

    Playbook を手動で呼び出すには、 フォーム UI アクションのドロップダウンに移動し、[Playbook を追加] を選択します。詳細については、「Playbook を追加」を参照してください。
    注:
    利用可能な Playbook が既に存在する場合、追加された新しい Playbook は既存の Playbook と並行して実行されます。
    • Playbook 内では、アナリストはステータス別に Playbook カードをフィルタリングできます。
    • アナリストは、省略記号アイコンから Playbook を選択してキャンセルできます。
    • 各アクティビティ内では、アナリストは [スキップ]、[完了としてマーク]、[キャンセル] などのアクティビティカード内で定義されたアクション、または [サンドボックスに送信]、[メールの検索 (Search Emails)] などのオーケストレーションアクションを実行できます。
    • これらの各アクションはアクティビティ定義内で定義され、表示される全カードはアクティビティ定義自体の構築時にカスタマイズできます。
    注:
    今後のアクティビティ定義と実行する次の手順はすべてロックアイコン付きで表示され、ユーザーに対しては読み取り専用モードとなります。Playbook 表示モードは、以下で説明する構成によって制御されます。
    1. 移動先 すべて > プレイブックエクスペリエンス.
    2. [Playbook Experience] ページで、[ SIR Playbook Experience] を選択します。
      図 : 1. Playbook Experience
      セキュリティインシデント Playbook Experience
      [Playbook Experience SIR Playbook Experience] ページが表示されます。
      図 : 2. Playbook Experience レコード
      SIR Playbook Experience レコードの編集
    3. [設定] レコードをクリックします。
      Playbook 設定レコード
    4. [構成] タブで、[SIR Playbook Experience 構成] をクリックします。
      図 : 3. Playbook 構成
      Playbook 構成の編集
    5. [ 保留中のアイテムの可視性 ] フィールドのドロップダウンリストに移動し、目的のオプションを選択してレコードを保存します。次のオプションから選択します。
      • 処理待ちのアクティビティを非表示にします:ワークスペースの [Playbook] セクションで表示させる処理待ちのアクティビティを非表示にするには、このオプションを選択します。
        図 : 4. ユーザーから報告されたフィッシングの例
        フィッシング手動 Playbook で保留中のアクティビティを非表示にします。
      • 処理待ちのステージとアクティビティを表示します:ワークスペースの [Playbook] セクションで表示させる処理待ちのステージおよびアクティビティを表示するには、このオプションを選択します。
        図 : 5. 保留中のステージとアクティビティを表示します
        保留中のステージとアクティビティをフィッシング手動 Playbook に表示する
      • 処理待ちのアクティビティとステージを非表示にします:ワークスペースの [Playbook] セクションで表示させる処理待ちのステージおよびアクティビティを非表示にするには、このオプションを選択します。
        図 : 6. 保留中のアクティビティとステージを非表示にします
        フィッシング手動 Playbook で保留中のアクティビティとステージを非表示にする
    6. [Playbook] セクションで、フィルターオプションを使用して、Playbook カードステータス (アクティビティ定義) でアクティビティをフィルタリングします。
      図 : 7. Playbook カードステータス
      Playbook カードステータス

    Playbook を追加

    このセクションを使用して、Playbook を手動で追加します。

    始める前に

    必要なロール:sn_si.analyst

    手順

    1. 移動先 すべて > セキュリティインシデント > セキュリティアナリストワークスペース.
    2. インシデントレコードを開きます。
    3. [Playbook を追加] をクリックします。
      Playbook を手動で追加する
      [Playbook を追加] ダイアログボックスが表示されます。
      Playbook を追加する
    4. Playbook のテンプレートを選択します。
    5. [Playbook を追加] をクリックします。
      確認のための確認メッセージダイアログボックスが表示されます。
    6. [このまま追加] をクリックします。
      確認メッセージ
    7. [Playbook][詳細] タブの横に追加されます。
      Playbook の確認メッセージ
    8. [Playbook] タブをクリックします。
      Playbook アクティビティ
    9. 次のレベルに移動するには、リストされている一連のアクティビティを実行します。
      注:
      セキュリティインシデントが Playbook に関連付けられている場合、関連付けられた Playbook がクローズされるかキャンセルされるまで、ユーザーは同じセキュリティインシデントに同じ Playbook を再度関連付けることはできません。