セキュリティインシデントサービス拒否ワークフローテンプレート

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • セキュリティインシデント - サービス拒否 - テンプレートを使用すると、サービス拒否 (DoS) 攻撃を処理するように設計された一連のタスクを実行できます。

    始める前に

    必要なロール:sn_si.write

    このタスクについて

    このワークフローは、セキュリティインシデントの [カテゴリ][サービス拒否] に設定された場合にトリガーされます。このアクションにより、ワークフローの最初のアクティビティとして応答タスクが作成されます。

    図 : 1. サービス拒否 (DoS)
    サービス拒否テンプレート

    手順

    1. このサービス拒否の事例のセキュリティインシデントを開くか、新しいセキュリティインシデントを作成します。
    2. [カテゴリ] で、[サービス拒否] を選択します。
    3. レコードを保存します。
    4. 下にスクロールして、[応答タスク] 関連リストを開きます。
      一連の応答タスクの最初のタスクが表示されます。レコードが保存されるたびに、前のタスクへの対応に応じて、次の応答タスクが作成されるかフローが終了します。
      表 : 1. サービス拒否テンプレートの応答タスク
      応答タスク アクション 結果
      ターゲットはビジネスクリティカルですか?(Is target business critical?) この DoS 攻撃のターゲットがビジネスクリティカルかどうかを判断します。

      タスク内の [結果][はい] または [いいえ] を選択します。

      		 [はい] を選択すると、[優先度を重要に設定 (Set priority to critical)] タスクが実行されます。

      [いいえ] を選択した場合、[脆弱性は利用されていますか?(Is a vulnerability being exploited?)] タスクが実行されます。
      優先度を重要に設定 (Set priority to critical) アクションは要求されません。 セキュリティインシデントの [優先度] が自動的に [重要] に変更され、[脆弱性は利用されていますか?(Is a vulnerability being exploited?)] タスクが実行されます。
      脆弱性は利用されていますか?(Is a vulnerability being exploited?) この DoS 攻撃がソフトウェアの脆弱性を利用しているかどうかを判断します。

      タスク内の [結果][はい] または [いいえ] を選択します。

      		 [はい] を選択すると、 [緊急パッチ要求 (Emergency patch request)] タスクが実行されます。

      [いいえ] を選択すると、 [内部攻撃者?(Internal attacker?)] タスクが実行されます。
      緊急パッチ要求 (Emergency patch request) 攻撃されているシステムの緊急パッチ要求を発行します。

      必要に応じてタスクの [ステータス (State)] フィールドを更新します。

      		 タスクのステータスを [完了してクローズ] または [キャンセル] に変更した場合、次の応答タスクが実行されます。
      内部攻撃者?(Internal attacker?) この DoS 攻撃の発信元が組織内であるかどうかを判断します。

      タスク内の [結果][はい] または [いいえ] を選択します。

      		 [はい] を選択すると、[攻撃ホストの隔離 (Isolate attacking host(s))] タスクが実行されます。

      [いいえ] を選択すると、[DoS 保護プロバイダーや ISP に通知 (Notify DOS protection provider and/or ISP)] タスクが実行されます。
      攻撃ホストを隔離 (Isolate the attacking host(s)) 攻撃の原因となっている内部ホストを隔離するために必要な手順を実行します。

      必要に応じてタスクの [ステータス (State)] フィールドを更新します。

      		 この手順を完了すると、[攻撃されたシステムの整合性を検証 (Validate system integrity of attacked systems)] タスクが実行されます。
      DoS 保護プロバイダーや ISP に通知 (Notify DOS protection provider and/or ISP) サービス拒否保護プロバイダーまたはインターネットサービスプロバイダーに連絡して攻撃を通知するために必要な手順を実行します。

      必要に応じてタスクの [ステータス (State)] フィールドを更新します。

      		 タスクのステータスを [完了してクローズ] または [キャンセル] に変更した場合、次の応答タスクが実行されます。
      攻撃されたシステムの整合性を検証 (Validate system integrity of attacked systems) 攻撃されたコンピューターの完全性を評価および検証するために必要な手順を実行します。

      必要に応じてタスクの [ステータス (State)] フィールドを更新します。

      		 タスクのステータスを [完了してクローズ] または [キャンセル] に変更した場合、次の応答タスクが実行されます。
      DoS 保護のレビュー (Review DOS protections) 既存の DoS 保護および手順のレビューを実施します。必要な変更を行います。

      必要に応じてタスクの [ステータス (State)] フィールドを更新します。

      		 タスクのステータスを [完了してクローズ] または [キャンセル] に変更した場合、次の応答タスクが実行されます。
      ステータスをレビューに設定 (Set state to review) アクションは要求されません。 セキュリティインシデントの [ステータス (State)] が、自動的に [レビュー] に変更されます。

      [学んだ教訓に関するミーティング] タスクが実行されます。
      学んだ教訓に関するミーティング 反省会を開催し、このサービス拒否インシデントに対して実行された作業をトリアージします。

      必要に応じてタスクの [ステータス (State)] フィールドを更新します。

      		 タスクのステータスを [完了してクローズ] または [キャンセル] に変更した場合、フローは終了します。