セキュリティインシデント - スパムワークフローテンプレート
セキュリティインシデント - スパム - テンプレートを使用すると、ネットワーク上のメールスパムを処理するように設計された一連のタスクを実行できます。
始める前に
必要なロール:sn_si.write
このタスクについて
このワークフローは、セキュリティインシデントの [カテゴリ] が [スパムソース] に設定または変更された場合にトリガーされます。このアクションにより、ワークフローの最初のアクティビティとして応答タスクが作成されます。
手順
- スパムメールを処理するセキュリティインシデントを開くか、新しいセキュリティインシデントを作成します。
- [カテゴリ] で、[スパムソース] を選択します。
- レコードを保存します。
-
下にスクロールして、[応答タスク] 関連リストを開きます。
一連の応答タスクの最初のタスクが表示されます。レコードが保存されるたびに、前のタスクへの対応に応じて、次の応答タスクが作成されるかワークフローが終了します。
表 : 1. スパムテンプレートの応答タスク 応答タスク アクション 結果 スパムに悪意のあるコンテンツは含まれていますか?(Spam contains malicious content?) スパムに悪意のあるソフトウェアが含まれているかどうかを判断します。タスク内の [結果] で [はい] または [いいえ] を選択します。 [はい] を選択すると、次の応答タスクが実行されます。 - メールメッセージの隔離 (Quarantine email message)
- 悪意のあるソフトウェアインシデントの作成 (Create malicious software incident)
[いいえ] を選択すると、[メールソフトウェアの更新 (Update email software)] が実行されます。
悪意のあるソフトウェアインシデントの作成 (Create malicious software incident) セキュリティインシデントを作成する手順を実行し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、この応答タスクは、次の 3 つの応答タスクが完了するまで待機します。その後、セキュリティインシデントのステータスは [レビュー] に移行します。 メールメッセージの隔離 (Quarantine email message) スパムを隔離する手順を実行し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 ファイアウォールでソースをブロック (Block source on firewall) ファイアウォールでメールアドレスをブロックする手順を実行し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 メールソフトウェアの更新 (Update email software) メールアドレスをブロックリストに追加し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 注:この応答タスクは、[スパムに悪意のあるコンテンツは含まれていますか?(Spam contains malicious content?)] 応答タスクに [いいえ] と回答した場合も実行されます。ステータスをレビューに設定 (Set state to review) アクションは要求されません。 セキュリティインシデントの [ステータス (State)] が自動的に [レビュー] に変更されます。