子セキュリティインシデント自動化のプレイブック
重複するセキュリティインシデントは子セキュリティインシデントとして分類され、親セキュリティインシデントにロールアップされます。
子セキュリティインシデント自動化プレイブックは、重複するセキュリティインシデントの調査とクローズに必要な時間を短縮するのに役立ちます。このプレイブックは、子セキュリティインシデントの特定の一意のアーティファクト (観測事象、影響を受けるユーザー、CI) を親セキュリティインシデントに自動的にロールアップします。
必須条件
必要なロール:
- sn_si.admin
- flow_designer
スポーク:Security Operations スポークのインストール (sn_sec_spoke)
主な機能
子自動化プレイブックは次の機能をカバーしています。
- セキュリティインシデントを分析ステージに移動する。
- 重複を排除し、影響を受けるユーザーと CI を親セキュリティインシデントに追加 (ロールアップ) する。
- 子インシデントから親セキュリティインシデントに観測事象を追加する。
- 親セキュリティインシデントがクローズされたときに、子セキュリティインシデントをクローズまたはキャンセルする。
必要な機能
詳細については、ServiceNow Store を参照してください。
セキュリティアナリストエクスペリエンス
セキュリティ上の脅威を段階的に解決する方法を理解するには、「プレイブックによるセキュリティの脅威の解決」を参照してください。
フローデザイナーの機能を使用した子セキュリティインシデント自動化プレイブックの詳細
はじめに
- sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
- 移動先 をクリックし、ログイン失敗プレイブックをクリックします。
- 子セキュリティインシデント自動化プレイブックのコピーを作成し、必要な変更を行います。(これはオプションのステップです。フローをカスタマイズまたは変更する場合にのみ、このステップを実行します)。
- 要件に応じて必要な変更を行います。(これはオプションのステップです。フローをカスタマイズまたは変更する場合にのみ、このステップを実行します)。
- プレイブックをアクティブ化します。
- ベースシステムで利用可能なプレイブックを使用するには、メインフローをアクティブ化します。
- 要件に応じて変更を加えた後、コピーしたフローをアクティブ化します。
次の画像は、子セキュリティインシデント自動化プレイブックのコピーを示しています。以下の手順では、プレイブックでのさまざまなアクションについて説明しています。
このプレイブックは、次の場合にトリガーされます。
- 親セキュリティインシデントフィールドが空でない。
- 親セキュリティインシデントのステータスが [ドラフト]、[分析]、[封じ込め]、または [根絶] である。
次のステップでは、子セキュリティインシデント自動化プレイブックで利用可能なアクションおよびタスクについて説明します。
- プレイブックの実行が開始されると、ステップ 1 でセキュリティインシデントが [ドラフト] ステータスの場合は、更新されて [分析] ステータスに設定されます。
- ステップ 2 および 3 では、セキュリティインシデントの影響を受けるユーザーが取得され、親セキュリティインシデントにロールアップされます。重複するユーザーは削除されます。
- ステップ 4 および 5 では、子セキュリティインシデントに関連付けられた構成アイテムが取得され、一意の CI が親セキュリティインシデントにロールアップされます。
- ステップ 6 および 7 では、子セキュリティインシデントに関連付けられた観測事象が取得され、一意の観測事象が親セキュリティインシデントにロールアップされます。
- ステップ 8 および 9 では、影響を受けるユーザー、構成アイテム、および観測事象が子セキュリティインシデントから親セキュリティインシデントにロールアップされたことを示す自動作業メモが親および子のセキュリティインシデントに投稿されます。