セキュリティインシデント機密データエクスポージャーワークフローテンプレート
セキュリティインシデント - 機密データエクスポージャー - テンプレートを使用すると、機密データエクスポージャーを処理するために設計された一連のタスクを実行できます。
始める前に
必要なロール:sn_si.write
このタスクについて
このワークフローは、セキュリティインシデントの [カテゴリ] が [機密性の高い個人 ID データの公開] に設定または変更されたときにトリガーされます。このアクションにより、ワークフローの最初のアクティビティとして応答タスクが作成されます。
手順
- 機密データへのエクスポージャーを処理するセキュリティインシデントを開くか、新しいセキュリティインシデントを作成します。
- [カテゴリ] で、[機密性の高い個人 ID データの公開] を選択します。
- レコードを保存します。
-
下にスクロールして、[応答タスク] 関連リストを開きます。
一連の応答タスクの最初のタスクが表示されます。レコードが保存されるたびに、前のタスクへの対応に応じて、次の応答タスクが作成されるかフローが終了します。
表 : 1. 機密データエクスポージャーテンプレートの応答タスク 応答タスク 説明 結果 データは機密ですか?(Is the data sensitive?) このセキュリティインシデントに関連するデータに機密性または秘密性があるかどうかを判断します。タスク内の [結果] で [はい] または [いいえ] を選択します。 [はい] を選択すると、次の応答タスクが実行されます。 [いいえ] を選択すると、フローは終了します。
根本原因の特定とエグレスの防止 (Determine root cause and prevent egress) 攻撃の根本原因を特定し、エグレスフィルタリングを追加してデータ漏えいを停止し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 根本原因に関連するエクスポージャーの除去 (Eliminate exposure related to root cause) 根本原因に基づいて、エクスポージャーを除去する手順を実行し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 残存アーティファクトの隔離 (Quarantine residual artifacts) 残存アーティファクトを隔離する手順を実行し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 法務プロセス (Legal process) この分析の法的要件を満たすための手順を実行し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 PR プロセス (PR process) この分析の PR 要件を満たすための手順を実行し、必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、次の応答タスクが実行されます。 ステータスをレビューに設定 (Set state to review) アクションは要求されません。 セキュリティインシデントの [ステータス (State)] が自動的に [レビュー] に変更されます。 学んだ教訓に関するミーティング 反省会を開催し、この機密データに対して実行された作業をトリアージします。必要に応じてタスクの [ステータス (State)] フィールドを更新します。 タスクのステータスを [完了してクローズ] または [キャンセル] に変更すると、タスクをクローズするまで、セキュリティインシデントは [レビュー] ステータスのままになります。