自動フィッシング対応プレイブックフローの実行

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • フローデザイナーを使用して、プレイブックのタスクを定義して自動化し、組織に対するフィッシング攻撃を分析して解決します。

    始める前に

    • 必要なロール:sn_si.admin、flow_designer、および action_designer
    • 適切な認証情報を使用して、次の統合をインストールして構成します。
      • ブロック要求 (セキュリティオペレーション Palo Alto Networks NGFW 統合)
      • 観測事象の拡張
      • サイティング検索
      • 脅威のルックアップ
      • Microsoft Office Exchange

    このタスクについて

    (セキュリティポリシーで定義されている) フィッシング攻撃の一般的な兆候を含む不審なメールを受信した場合、従業員は、それを組織で定義されたフィッシングメールアドレスに .EML 添付ファイルとして送信できます。自動フィッシングプレイブックフローで定義されたタスクを使用して、フィッシングの脅威をトリアージ、分析、封じ込め、および根絶できます。これらのタスクは、さまざまなインシデント状況 (分析、封じ込めなど) の一部として呼び出すことができます。フィッシングセキュリティインシデントが作成されると、自動フィッシングフローが自動的にトリガーされます。フローデザイナーを使用すると、さまざまなインシデント応答アクションが呼び出されたときにその詳細を表示できます。
    注:
    [セキュリティインシデント - 自動フィッシング応答テンプレート V1 (Security Incident - Automated Phishing Response Template VI)] プレイブックフローは読み取り専用です。フローのコピーを作成し、必要に応じて変更を加えることができます。

    この後のステップでは、フィッシングプレイブックテンプレートのコピーを作成する方法について説明し、フロー内のいくつかのタスクについて順を追って説明します。

    手順

    1. 移動先 すべて > フローデザイナー > デザイナー をクリックして、 セキュリティオペレーション スポークで利用可能なフローを表示します。
    2. [セキュリティインシデント - 自動フィッシング応答テンプレート VI (Security Incident - Automated Phishing Response Template VI)] リンクをクリックします。
    3. [フロー] ページで、 その他アイコン [その他] アイコン をクリックし、フローのコピーを作成して開き、使用できるようにします。
      トリガー条件を変更したり、アクションを追加または削除したり、フローにその他の変更を加えたりすることができます。自動フィッシングプレイブックフロー

      この画像は、トリガー条件と、フローが実行するステップを示しています。右側のパネルにはデータフローが示されています。アイコンをクリックすると、ステップが展開され、詳細が表示されます。

    4. [トリガー] アイコンをクリックします。
      最初のステップでは、フローのトリガーを定義または設定します。トリガーの条件と、フローでトリガーを実行する頻度を指定します。自動フィッシングプレイブックフロー:トリガー

      フローで定義された条件 ([カテゴリ] が [フィッシング] で [ソース] が [メール] であること) がインシデントレコードで満たされると、自動フィッシングフローのタスクの実行が順次開始されます。トリガーの変更、注釈の追加、条件の追加または削除などを行うことができます。

    5. [セキュリティインシデントレコードの更新 (Update Security Incident Record)] リンクをクリックします。
      自動フィッシングプレイブックフロー:ステップ 1

      [セキュリティインシデントレコードの更新 (Update Security Incident Record)] が、フローの最初のステップです。注釈アイコン 注釈アイコン をクリックして、フィッシングインシデントが発生したこと、および自動フィッシングプレイブックフローの実行が開始されたことを示すセキュリティアナリスト向けのメモを追加します。

    6. フローのステップ 2 に進み、[対応タスクを作成] リンクをクリックします。

      このステップでは、フローにより、インシデントの送信者または影響を受けるユーザーに受信確認を行う自動応答タスクが作成されます。

      自動フィッシングプレイブックフロー:ステップ 2

      [親タスク [セキュリティインシデント]] フィールドは、このステップに関連付けられた親レコードを参照することに注意してください。データピルピッカーアイコン データピルピッカーアイコン を使用するか、右側のパネルから関連する参照アイテムをドラッグして、参照レコードを選択できます。ロックアイコン ロックアイコン を確認します。ロックアイコンは、ステップでユーザーの介入が必要ないことを示します。

    7. ステップ 3 では、フローは通知を正常に送信できるように、影響を受けるユーザー (通常はインシデントを送信したユーザー) の詳細をさらに収集します。
      影響を受けるユーザーのステータスがアクティブであり、ユーザーが通知を受信できるかどうかを確認する条件を指定できます。自動フィッシングプレイブックフロー:ステップ 3

      ステップ 3 の条件付きステップアイコン 条件付きステップアイコン を確認します。フローは、指定された条件が満たされた場合にのみ次のステップ (3.1) を実行します。

      自動フィッシングプレイブックフロー:ステップ 3.1

      ステップ 3 で定義された条件が正常に満たされると、メールが送信されます。

    8. ステップ 4 では、メールが送信された後、応答タスクが [クローズ済み] としてマークされます。
      自動フィッシングプレイブックフロー:ステップ 4
    9. ステップ 5 では、インシデントに関連するすべての観測事象 (メールの件名、フィッシングメールの送信元のメールアドレス、フィッシング URL など) または選択したカテゴリに属する観測事象 (ハッシュ、ファイル、ドメイン) が収集され、後続の プレイブックステップで追加の自動アクションが実行されます。
      自動フィッシングプレイブックフロー:ステップ 5

      アクションデザイナーアイコン アクションデザイナーアイコン をクリックして、アクションの詳細ビューを表示します。

      [アクションデザイナー] ページを表示するには、フローのステップを展開し、アクションデザイナーアイコンをクリックします。

    10. ステップ 6 では、自動応答タスクが作成されます。
      このタスクは、すべての観測事象の評判を取得し、構成された統合を使用して拡張を実行するプロセスの開始をキャプチャします。自動フィッシングプレイブックフロー:ステップ 6
    11. ステップ 7 では、次の 2 つのサブフローが呼び出されます。
      • 観測事象の脅威ルックアップの実行:このサブフローは、脅威のルックアップ実装を使用してすべての観測事象の評判を取得するために使用されます。
      • 観測事象を拡張:このサブフローは、構成された実装で観測事象の拡張を実行するために使用されます。

      自動フィッシングプレイブックフロー:ステップ 7

      このタスクのアイコンを確認します。並列操作アイコン 並列操作アイコン は、両方のタスクが並列に実行されることを示し、サブフローアイコン サブフローアイコン は、次に示すように、実行中のタスクがサブフローであることを示します。

      自動フィッシングプレイブックフロー:ステップ 7.1.1

      [観測事象] フィールドの数字「5」に注目してください。これは、ステップ 5 で取得された観測事象に対して脅威のルックアップが実行されることを示しています。その結果、このサブフローは、サブフローデザイナーに示されているように、既存のワークフローとアクションを呼び出します。

    12. ステップ 8 では、サブフローが完了した後、応答タスクが [クローズ済み] としてマークされます。
      自動フィッシングプレイブックフロー:ステップ 8
    13. ステップ 9 では、「観測事象トリアージからの脅威を確認」サブフローが呼び出されます。
      このサブフローは、インシデント内の脅威インジケーターの存在を確認するために使用されます。脅威が確認されると、「IOC 検出済み」フラグがインシデントに追加されます。自動フィッシングプレイブックフロー:ステップ 9
    14. 脅威が確認されたら、ステップ 10 でセキュリティインシデントを更新して、脅威の封じ込めタスクが開始されることを示すメモを追加します。
      自動フィッシングプレイブックフロー:ステップ 10
    15. ステップ 11 は、フィッシングメールの影響を評価するために使用されるタスクの開始と完了をキャプチャする自動応答タスクです。
      自動フィッシングプレイブックフロー:ステップ 11
    16. ステップ 12 では、「フィッシングメールの影響度の評価」サブフローが呼び出されます。
      このサブフローは、サポートされている実装を使用してフィッシングメールを受信したユーザーを検索するために使用されます。自動フィッシングプレイブックフロー:ステップ 12
    17. ステップ 13 で、タスクは [クローズ済み] としてマークされ、「フィッシングメールの影響度の評価」サブフローが実行されたことが示されます。
      自動フィッシングプレイブックフロー:ステップ 13
    18. ステップ 14 は、悪意のある項目としてマークされたすべての観測事象を取得するために使用されます。
      自動フィッシングプレイブックフロー:ステップ 14
    19. ステップ 15 は、観測事象タスクのサイティング検索の開始と完了をキャプチャする自動応答タスクです。
      自動フィッシングプレイブックフロー:ステップ 15
    20. ステップ 16 では、「観測事象のサイティング検索を実行 (Run Sightings Search on Observables)」サブフローが呼び出されます。
      このサブフローは、構成された実装を使用してサイティング検索を実行します。自動フィッシングプレイブックフロー:ステップ 16
    21. ステップ 17 で、タスクは [クローズ済み] としてマークされ、「観測事象のサイティング検索を実行 (Run Sightings Search on Observables)」サブフローが完了したことが示されます。
      自動フィッシングプレイブックフロー:ステップ 17
    22. 悪意のある観測事象を特定したら、ステップ 18 でセキュリティインシデントレコードを更新して、封じ込めアクションが開始されることを示します。
      自動フィッシングプレイブックフロー:ステップ 18
    23. ステップ 19 は、ブロック要求タスクの開始と完了をキャプチャする自動応答タスクです。
      自動フィッシングプレイブックフロー:ステップ 19
    24. ステップ 20 では、「ブロック要求の作成」サブフローが呼び出されます。
      このサブフローは、悪意のある観測事象をブロックするために使用されます。自動フィッシングプレイブックフロー:ステップ 20
    25. ステップ 21 で、タスクは [クローズ済み] としてマークされ、「ブロック要求の作成」サブフローが完了したことが示されます。
      自動フィッシングプレイブックフロー:ステップ 21
    26. ステップ 22 では、「フィッシングメールの撲滅」サブフローが呼び出されます。
      このサブフローは、ユーザーのメールボックスからフィッシングメールを削除するために使用されます。自動フィッシングプレイブックフロー:ステップ 22
    27. フィッシングメールを削除した後、ステップ 23 でセキュリティインシデントレコードを更新して、インシデント状況を確認する必要があることを示します。
      自動フィッシングプレイブックフロー:ステップ 23
    28. 最後のステップでは、フローにより自動応答タスクが作成されます。
      このタスクは、今後のレビューのためにすべてのインシデント応答アクションを保存するようセキュリティアナリストにリマインダーを送信するために使用されます。自動フィッシングプレイブックフロー:ステップ 24

    次のタスク

    [テスト] をクリックすると、公開する前にフロー内のアクションをシミュレートできます。フローをテストした後、[アクティブ化] をクリックしてフローをアクティブ化して、実行します。

    [実行] をクリックして、フローの実行の詳細を表示します。

    自動フィッシングフロー:実行