Security Incident Response - 実行中のサービスを取得ワークフロー
[Security Incident Response - 実行中のサービスを取得ワークフロー] は、Windows ベースの ServiceNow 構成アイテム (CI) から実行中のサービスのリストを取得します。このワークフローは、調査中にインシデントの拡張に使用されます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
[Security Incident Response - 実行中のサービスを取得ワークフロー] は、ステータスが [分析] に変わった後に、Windows セキュリティインシデントに新しい構成アイテムを追加すると、自動的に実行されます。このワークフローが取得する情報は、セキュリティインシデントの [拡張データを表示] タブに表示されます。
注:
セキュリティインシデントが [ドラフト] ステータスのままだと、[Security Incident Response - 実行中のサービスを取得ワークフロー] は実行されません。
ワークフローアクティビティには次のものが含まれます。図 : 1. 実行中のサービスを取得
- [監査ログ拡張スクリプト (Audit Log Enrichment Script)] アクティビティ
- [構成アイテム FQDN を取得] アクティビティ
- [OS によるシェルスクリプトの確認] アクティビティ
- [PowerShell による実行?(Is Execution via PowerShell)] アクティビティ
- [実行中のサービスを取得 - WMI 拡張] アクティビティ
- [拡張データレコードを作成] アクティビティ