セキュリティインシデント - 無許可のアクセスワークフローテンプレート
セキュリティインシデント - 無許可のアクセス - テンプレートを使用すると、ネットワークに対する不正アクセスを処理するように設計された一連のタスクを実行できます。
始める前に
必要なロール:sn_si.write
このタスクについて
このワークフローは、セキュリティインシデントの [カテゴリ] が [無許可のアクセス] に設定された場合にトリガーされます。このアクションにより、ワークフローの最初のアクティビティとして応答タスクが作成されます。
手順
- この潜在的な攻撃のセキュリティインシデントを開くか、新しいセキュリティインシデントを作成します。
- [カテゴリ] で、[無許可のアクセス] を選択します。
- レコードを保存します。
-
下にスクロールして、[応答タスク] 関連リストを開きます。
一連の応答タスクの最初のタスクが表示されます。レコードが保存されるたびに、前のタスクへの対応に応じて、次の応答タスクが作成されるかワークフローが終了します。
表 : 1. 不正アクセステンプレートの応答タスク 応答タスク アクション 結果 ユーザーの認証情報は侵害されましたか?(User credentials compromised?) ユーザーの認証情報が侵害されているかどうかを判断します。 タスク内の [結果] で [はい] または [いいえ] を選択します。
[はい] を選択すると、次の 2 つのタスクが並行して実行されます。 - 悪意のあるソフトウェア?(Malicious Software?)
- ユーザーアカウントの非アクティブ化 (Deactivate user account)
[いいえ] を選択すると、[ユーザーに連絡して意図を確認 (Contact user and determine intent)] タスクが実行されます。
悪意のあるソフトウェア?(Malicious Software?) 不正アクセスによって悪意のあるソフトウェアが導入されたかどうかを判断します。 タスク内の [結果] で [はい] または [いいえ] を選択します。
[はい] を選択すると、[悪意のあるソフトウェアインシデントの作成 (Create malicious software incident)] タスクが実行されます。 [いいえ] を選択すると、[ステータスをレビューに設定 (Set state to review)] タスクが実行されます。
悪意のあるソフトウェアインシデントの作成 (Create malicious software incident) 不正アクセスのセキュリティインシデントを作成するために必要な手順を実行します。 このタスクが完了すると、[ステータスをレビューに設定 (Set State to Review)] タスクが実行されます。 ユーザーアカウントの非アクティブ化 (Deactivate user account) 侵害されたユーザーアカウントを非アクティブにするために必要な手順を実行します。 このタスクが完了すると、[ステータスをレビューに設定 (Set State to Review)] タスクが実行されます。 ユーザーに連絡して意図を確認 (Contact user and determine intent) 不正アクセスを行ったユーザーに連絡し、アクセスを試みた理由を確認するために必要な手順を実行します。 このタスクが完了すると、[HR プロセス (HR process)] タスクが実行されます。 HR プロセス (HR process) 人事に連絡して必要に応じて懲戒処分を実施するために必要な手順を実行します。 このタスクが完了すると、[ステータスをレビューに設定 (Set State to Review)] タスクが実行されます。 ステータスをレビューに設定 (Set state to review) アクションは要求されません。 セキュリティインシデントの [ステータス (State)] が自動的に [レビュー] に変更され、フローが終了します。