セキュリティインシデントをテストし、隔離されたホストの要求を承認する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • テストおよびプレビューの手順を行うことで、ホスト隔離およびホスト隔離の削除のワークフローの結果がプロファイルに対する期待どおりに返されることを検証できます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    構成のこのステップでは、sn_si.admin ロールを持つユーザーとして、ホスト隔離機能を使用して構成したプロファイルによって、セキュリティインシデントおよび一致する資産 ID が想定どおりに返されることを検証します。プロファイルの設定に一致するセキュリティイベント条件の発生時に作成される実際の ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) のセキュリティインシデントを確認します。

    ホストマシンを隔離する要求が送信されたら、承認者ロールを持つユーザーとしてその要求を処理します。

    手順

    1. [インシデントのテスト] ページが表示されない場合は、進捗状況バーの [インシデントのテスト] をクリックします。
      [McAfee 機能プロファイル] の [インシデントのテスト] ページ。
      プロファイルの [インシデントのテスト] ページが表示されます。この例では、前のセクションで作成して構成した [ホスト隔離]™ プロファイルが表示されます。
    2. 一番上のフィールドの右側にある検索アイコンをクリックして、プレビューするセキュリティインシデントを選択します。
      検索の記号が強調されています。
    3. 表示されるリストの [番号] 列で、プレビューに表示するアイテムを選択します。

      プロファイルに対して設定した基準に一致するセキュリティインシデントのみが表示されます。

      セキュリティインシデントのリスト。
      セキュリティインシデントがページに表示されます。
    4. すべてのプレビュー対象のインシデントがフィールドに表示されるまで、ステップ 2 と 3 を繰り返します。
      プレビューするセキュリティインシデントを最大 5 つ選択します。
    5. [McAfee ePO プレビュー] をクリックして、セキュリティインシデントを表示します。
      [McAfee ePO プレビュー] ボタンが強調されています。
      セキュリティイベント条件に対して作成されたインシデントのうちでプロファイルに一致するものが、タブに表示されます。
      注:
      この時点で [インシデントのテスト] ページを終了すると、フィールドからセキュリティインシデントが消去されます。
      セキュリティインシデントがタブに表示されています。
    6. タブを選択し、セキュリティインシデントで画面をスクロールして作業メモを確認します。
      機能タスクが開始され、正常に完了したときの作業メモ。
      この例では、前の画像の SIR0010021 が選択されています。作業メモでは、ホスト隔離ワークフローが開始されたことが一覧で示されています。このプロファイルでは [承認が必要] オプションが有効になっているため、作業メモには要求が承認待ちであることが示されます。

      インシデントの上部に、要求が開始されたことを示すセキュリティタグが表示されます ([ホスト隔離 - 開始済 (Isolate Host - Initiated)])。

      [ホスト隔離キューイング済 (Isolate Host Queued)] タグが表示されたセキュリティインシデント。

      ホスト隔離機能のプロファイルに一致するセキュリティインシデントを正しく見つけて、セキュリティインシデントを表示しました。

    7. 承認グループのユーザーであれば、次の手順に従って要求を処理します。
      1. インスタンスの [自分の承認] に移動します。

        この例では、承認者のユーザー名は「Mary admin™」です。

        [自分の承認] モジュールが強調されています。
        承認リストが表示されます。
      2. [ステータス] 列で、アイテムをクリックして承認レコードを開きます。
        [自分の承認] の [状態] 列で [要求済み] が強調されています。
      3. 表示される承認レコードで、[承認] または [却下] をクリックします。
        承認レコードで [承認] および [却下] ボタンが強調されています。
        要求を処理した後、ワークフローの実行に少し時間がかかる場合があります。トランザクションが数秒以上かかる場合には、最上部のレコードに、次の図のようなメッセージが表示されます。
        トランザクション処理中のメッセージ。

        しばらくすると、表示される承認レコードで、 [ステータス] 列が [要求済み] から [承認済み] に変わります。この要求に対してホストマシンを隔離する際には、追加の承認は必要ありません。要求が却下された場合、ホストは隔離されず、要求は処理待ちのままになります。sn_si.analyst ロールを持つユーザーとして、要求が却下された場合でもエンドポイントを隔離するには、新しい要求を送信する必要があります。

        [自分の承認] で、[ステータス] 列に [承認済み] と表示されています。

        前の図で送信したホストマシン隔離の要求が承認されました。

      4. 移動先 セキュリティインシデント > インシデント > すべてのインシデントを表示 をクリックし、[番号] 列でエントリをクリックして、操作しているセキュリティインシデントを開きます。
        ナビゲーションパネルで [すべてのインシデントを表示] が強調されています。
        表示されるセキュリティインシデントで、[ホストの隔離 - 開始]™ タグが [ホスト隔離- 完了]™ に置き換わります。この例のホスト隔離ワークフローは成功しています。
        [セキュリティインシデント] の、ホストが正しく隔離されたことを示すセキュリティタグ。
        セキュリティインシデントの作業メモには、ホストの隔離が完了したことが示され、承認者の名前「Mary admin™」がリストに表示されています。
        機能タスクが開始され、正常に完了したときの作業メモ。
        重要:
        セキュリティインシデントのセキュリティタグと作業メモはホスト隔離ワークフローが正常に完了したことを示していますが、McAfee ePO コンソールに戻り、ホストマシンがネットワークから隔離されていることを確認します。

        資産の調査を完了した後、ServiceNow AI Platform® インスタンスの [ホスト隔離エントリ]™ テーブルから隔離の削除ワークフローを開始して、ホストをネットワークに戻します。

    8. ホストを隔離から削除してネットワークに戻すには、次の手順を実行します。
      1. [ホスト隔離エントリを McAfee ePO ] テーブルが表示されない場合は、 McAfee epO 統合 > McAfee epO 統合 ホスト隔離エントリー.
        [McAfee ePO 統合のホスト隔離エントリー (Mcafee epO integration Isolate Host Entries)] テーブルの [ステータス] 列で [隔離済み] が強調されています。
        [ホスト隔離エントリ] リストが表示されます。[ステータス] 列のリストの上部で、分離した資産を検索します。
      2. [追加日] 列でアイテムをクリックしてレコードを開きます。
        [ホスト隔離エントリ] レコードが表示されます。セキュリティインシデントに関連するすべてのアクションの監査記録が作業メモに表示されます。次の図では、作業メモの最後のエントリが、成功したホスト隔離です。隔離が完了した日付が、[追加日] フィールドに表示 (2019-01-03 14:04:17) されます。
        [ホスト隔離エントリー] レコード
      3. [隔離を削除] をクリックしてワークフローを起動し、マシンをネットワークに復元します。
        [ホスト隔離エントリ] レコードが表示されます。レコードの上部に、要求が送信されたことを示すメッセージが表示されます。[ステータス] が [隔離済] から [承認待ち] に変わり、作業メモが記録されます。この場合は、システム管理者がマシンをネットワークに復元するように要求しています。
        メッセージが表示された [ホスト隔離エントリー] レコード。
      4. ホスト隔離の承認権限を持つユーザーは、要求の通知を受け取ったら、インスタンスで [自分の承認] に移動して隔離削除要求のレコードを開きます。
      5. [承認] をクリックして要求を承認し、資産をネットワークに戻します。
        または、[却下] をクリックして、要求を承認待ち状態にしておきます。要求が却下された場合は、ホストを隔離するための新しい要求を送信する必要があります。ホスト隔離を削除する要求を承認すると、セキュリティインシデントのタグが削除されます。作業メモは、隔離削除要求の監査記録を作成します。この例では、システム管理者が要求を開始して承認しています。
        機能タスクが開始され、正常に完了したときの作業メモ。

        セキュリティインシデントのセキュリティタグと作業メモに、ホスト隔離の削除ワークフローが正常に完了したことが示されます。ホストがネットワークに戻ったことを確認するには、McAfee ePO コンソールに戻り、ホストマシンがアクティブになっていることを確認します。

    9. いずれかを選択して続行します。
      オプション説明
      前へ プロファイルの [構成] ステップに戻ります。テストとプレビューの結果に満足できない場合は、プロファイル設定の構成を続行します。
      完了 構成を完了します。アクティブ化の確認を要求されます。