反復検出 Playbook の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 次の手順は、反復検出 Playbook で利用可能なアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer
    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。次のシステムプロパティを変更するオプションがあります。
    • sn_sec_spoke.similarphish.earlyterminationscore
    • sn_sec_spoke.similarphish.lookbackdays
    • sn_sec_spoke.similarphish.maxcomparisonsize
    • sn_sec_spoke.similarphish.minmatchscore

    手順

    1. Playbook がトリガーされて実行が開始されると、ステップ 1 で、Playbook は日の構成を使用してセキュリティインシデントの相対日付を取得します。
    2. ステップ 2 では、Playbook はメッセージ ID に基づいてインシデントと一致するテーブル sn_ti_m2m_task_observable のタスク観測事象レコードを検索します。
      図 : 1. 繰り返し検出 Playbook
      メッセージ ID に基づいてタスク観測事象レコードを検索します。
    3. ステップ 3 では、Playbook は、メッセージ ID と一致したインシデントの Levenshtein アルゴリズムを使用して、タスク観測事象とメール本文を比較します。
    4. ステップ 4 では、これまでに行われた調査に基づいて、一致するインシデントが見つかったかどうかを Playbook がメッセージ ID に基づいて確認します。
      ステップ 5 で一致するインシデントが見つかった場合、Playbook は繰り返し検出の自動化に基づいて一致が見つかった作業メモを自動的に更新します。ステップ 6 では、フローは終了します。
    5. 一致するインシデントが見つからない場合、ステップ 7 で、Playbook は件名に基づいてインシデントに一致するテーブル sn_ti_m2m_task_observable のタスク観測事象レコードを検索します。
    6. ステップ 8 で、Playbook は、件名に一致したインシデントのレーベンシュタインアルゴリズムを使用して、タスク観測事象とメール本文を比較します。
    7. ステップ 9 で、Playbook は一致するインシデントが見つかったかどうかを確認します。
      ステップ 10 で、一致するインシデントが見つかった場合、Playbook は、反復検出の自動化に基づいて、一致が見つかった作業メモを自動的に更新します。ステップ 11 で、フローは終了します。
      図 : 2. 照合中のインシデント
      一致するインシデントが見つかると、作業メモが更新されます。
    8. ステップ 12 で、Playbook は、住所に基づいてインシデントに一致するテーブル sn_ti_m2m_task_observable のタスク観測事象レコードを検索します。
    9. ステップ 13 で、Playbook は、住所と一致したインシデントのレーベンシュタインアルゴリズムを使用して、タスク観測事象とメール本文を比較します。
    10. ステップ 14 で、Playbook は、一致するインシデントがアドレスに基づいて見つかったかどうかを確認します。
      ステップ 15 で、一致するインシデントが見つかった場合、Playbook は繰り返し検出の自動化に基づいて、一致が見つかった作業メモを自動的に更新します。ステップ 16 で、フローは終了します。