セットアップアシスタントの参考情報

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:36分

    • セットアップアシスタントは、セキュリティインシデントレスポンス ベースシステムを設定するために実行する必要がある手順をガイドします。このセクションでは、さらに説明が必要な、複雑な手順について追加情報を提供します。

    セキュリティインシデントレスポンス プロセス定義の作成

    プロセス定義を作成して、セキュリティインシデントを 1 つのステータスから次のステータスに移行する方法を定義できます。プロセス定義は、サービスデスクとエンドユーザーがライフサイクル全体で問題を追跡するのに役立ちます。

    始める前に

    必要なロール:sn.si_admin

    手順

    1. 移動先 すべて > セキュリティインシデント > 管理 > Process Definition (プロセス定義).
    2. [新規] をクリックします。
    3. 必要に応じてフィールドに入力します。
      表 : 1. プロセス定義の作成
      フィールド 説明
      名前 スクリプトインクルードファイルでエンコードされたプロセスを説明するレコードの名前。名前は、[プロセス定義セレクター (Process Definition Selector)] リストの選択肢として表示されます。
      スクリプトインクルード プロセスの定義を含むスクリプトインクルードの名前 (sn_si. プリフィックスを含む)。スクリプトは、セキュリティインシデント (sn_si) アプリケーションスコープ内にある必要があります。詳細については、「カスタムの セキュリティインシデントレスポンス プロセス定義スクリプトインクルードの作成」を参照してください。このフィールドに有効なスクリプトインクルード名が含まれていない場合は、デフォルトの ProcessDefinition_NIST_Stateful 定義が使用されます。
      説明 スクリプトインクルードに関する有用な情報。
      順序 プロセス定義リスト内の位置を決定します。
      有効 オンにすると、このプロセス定義が [プロセス定義セレクター (Process Definition Selector)] ページから選択可能になります。
    4. [送信] をクリックします。

    セキュリティインシデントレスポンスプロセス定義の概要

    セキュリティインシデントレスポンス プロセス定義 は、状況フローを置き換え、エンドユーザーとサービスデスクに問題のステータスを提供します。プロセス定義は、問題のライフサイクル全体を追跡するのに役立ちます。セキュリティインシデントレスポンス はサービス管理 (SM) アプリケーションで、独自の状況セットを持ちます。無効な状況は プロセスの選択 の一部として報告されます。

    セキュリティインシデントレスポンスプロセス定義

    デフォルトのプロセス定義 (NIST Stateful) では、次のインシデント状況が定義されます。
    注:
    使用可能な状況は、インシデントの現在の状況によって異なります。
    表 : 2. セキュリティインシデントプロセス定義の状況
    状況 説明
    ドラフト 要求のイニシエータが、セキュリティインシデントに関する情報を追加します。ただし、この段階では処理する準備がまだ整っていません。
    分析 インシデントがアサインされ、問題が分析されます。
    封じ込め 問題が特定され、セキュリティスタッフが問題の封じ込めとダメージコントロールを実行しています。これらのアクションには、サーバーのオフライン化、インターネットからの機器の切断、バックアップの存在の確認が含まれます。
    根絶 問題が封じ込められ、セキュリティスタッフが問題を解決するための措置を講じています。
    復旧 問題が解決され、対象システムの運用準備状況が検証されています。
    レビュー セキュリティインシデントが完了し、すべてのシステムが通常の機能に戻りました。ただし、インシデントの事後レビューがまだ必要です。
    クローズ済み インシデントが完了しました。ただし、セキュリティインシデントをクローズする前に、[クローズ情報] タブに情報を入力する必要があります。

    セキュリティインシデントタスクプロセス定義

    セキュリティインシデントタスクには、次のプロセス定義が使用されます。

    表 : 3. タスクプロセス定義状況
    状況 説明
    準備完了 タスクがエージェントにアサインされると、処理する準備が整います。
    アサイン済み タスクがエージェントにアサインされています。
    対応中 アサインされたエージェントがタスクを処理しています。
    完了 タスクが完了しました 。
    キャンセル済み タスクがキャンセルされました。

    NIST は次の 2 つのモデルをサポートしています。

    • NIST Stateful

      このプロセス定義により、アナリストはステップをスキップすることなく、各ステータスを順に移行できます。たとえば、アナリストが [ドラフト] ステータスで開始した場合、このプロセス定義の順序は [ドラフト] > [分析] > [封じ込め] > [根絶] > [復旧] になります。したがって、NIST ステートフルプロセス定義は単方向であり、アナリストは順方向でのみ状況を順方向にのみ移動できます。

      もう 1 つの例として、アナリストが [分析] ステータスで開始した場合、このプロセス定義の順序は [分析] > [封じ込め] > [根絶] > [復旧] になります。

    • NIST Open

      このプロセス定義により、アナリストはステータス間を順方向と逆方向の両方で移行できます。もう 1 つの例として、アナリストが [分析] ステータスで開始した場合、このプロセス定義の順序は [分析] > [封じ込め] > [根絶] > [復旧] または [分析] > [ドラフト] になります。したがって、NIST オープンプロセス定義は双方向であり、アナリストは要件に応じて順方向または逆方向で状況間を移行できます。

    セキュリティインシデントレスポンスプロセスの選択

    セキュリティインシデントレスポンス [プロセスの選択]には、セキュリティインシデントと応答タスクに対して無効な状態のプロセスが一覧表示されます。

    アドミニストレーターは、手動またはスクリプトを使用して、インシデントまたはタスクを有効な状況に修正できます。空の (インシデントもタスクもない) 関連リストは、すべてのアクティブなタスクが有効なステータスであることを示します。使用可能な状況は、インシデントの現在の状況によって異なります。詳細については、「プロセス定義を使用して無効なセキュリティインシデントまたはタスクのステータスを修正する」を参照してください。

    セキュリティインシデントレスポンス プロセス定義の選択

    会社のセキュリティインシデントおよび応答タスクの適切な状況に使用するプロセス定義を選択できます。

    始める前に
    必要なロール:admin および sn_si.admin
    このタスクについて
    手順
    1. 移動先 すべて > セキュリティインシデントレスポンス > 管理 > プロセスの選択.
    2. 検索アイコンをクリックすると、利用可能なプロセス定義のリストが表示されます。
      プロセス定義セレクター
    3. プロセス定義を選択します。
    4. [更新] をクリックします。

    カスタムの セキュリティインシデントレスポンス プロセス定義スクリプトインクルードの作成

    会社のセキュリティインシデントおよび応答タスクの適切な状況用のカスタムのプロセス定義スクリプトを作成します。

    始める前に
    必要なロール:sn_si.admin
    このタスクについて
    sn_si.ProcessDefinition メインスクリプトインクルードは、プロセス定義を制御します。[プロセス定義] は、使用される定義を決定します ([プロセスの選択] を使用)。適切なスクリプトインクルードファイルを呼び出して、セキュリティインシデントおよび応答タスクの両方の初期状況と移行を決定します。
    手順
    1. 移動先 すべて > システム定義 > スクリプトインクルード.
    2. [New] をクリックします。
    3. 必要に応じてフィールドに入力します。
      表 : 4. プロセス定義の作成
      フィールド 説明
      名前 このスクリプトインクルードの名前です。
      API 名 スクリプトインクルードの名前に基づいて作成されます。
      クライアント呼び出し可能 スクリプトインクルードをクライアントスクリプト、リストとレポートフィルター、参照修飾子で使用できるようにするか、指定されている場合は URL の一部として使用できるようにします。
      アプリケーション セキュリティインシデント
      アクセス可能 [このアプリケーションスコープのみ] を選択します。
      有効 オンにすると、このスクリプトインクルードが [プロセス定義] ページから選択可能になります。
      説明 スクリプトインクルードに関する有用な情報。
      スクリプト 他のスクリプトから呼び出されたときに実行するサーバーサイドスクリプトを定義します。

      スクリプトは、単一の JavaScript クラスまたはグローバル関数を定義する必要があります。クラス名または関数名は [名前] フィールドと一致する必要があります。

      スクリプトのコンテンツの詳細については、「プロセス定義スクリプトインクルード」を参照してください。
      プロセス定義スクリプトインクルードフォーム
    4. [送信] をクリックします。
    プロセス定義スクリプトインクルード

    プロセス定義スクリプトインクルードは、プロセス定義を定義するためのメソッドを提供します。

    ここで説明されている定数、属性、アレイ、およびメソッド呼び出しを実装して、プロセス定義スクリプトインクルードをカスタマイズします。

    使用する状況

    このスクリプトインクルードを使用して、プロセス定義を作成します。

    スクリプトインクルードの本文
    スクリプトインクルードの本文は、次の 3 つのセクションで構成されます。
    • 定数:初期ステータスの定義
    • セキュリティインシデントと応答タスク:プロセス定義のアレイ
    • メソッド呼び出し:情報の取得
    定数

    定数は、セキュリティインシデントと応答タスクの初期状況を定義するために使用されます。

    定数の使用はオプションですが、読みやすくするため使用することをお勧めします。例:
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    後続のメソッドで次のように使用されます。

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    次の定数セットは、セキュリティインシデントと応答タスクの両方の状況を定義します。

    各アレイには、インシデントまたはタスクが特定の状況にあるときに使用できる状況の定義も含まれています。

    例:
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    この例は、オブジェクトのアレイです。各オブジェクトは、状況および可能な移行状況を定義します。

    ステータスのオブジェクトの順序によって、フローの必要な順序が決まります。

    タスクが [ドラフト] 状況 (値 1) の場合、可能なステータスは 1 (ドラフト、変更なし) および 10 (準備完了、プロセスの次のステップ) です。

    ステータスからの移行回数に制限はありません。[完了してクローズ] 状況および [キャンセル] 状況は最終状況であるため、状況の移行はできません。

    オブジェクト内の属性の順序は重要ではありません。定義が明確になる場合は、最初にラベルを配置します。

    属性
    ステータス定義オブジェクトに必要な属性は次のとおりです。
    • state:ステータスの数値
    • label:ステータスに関連付けられた分かりやすいテキスト
    • choice:ステータスが移行できるステータス値のアレイ (ステータスドロップダウンの内容を決定)
    オプションの属性は次のとおりです。
    • mandatory:このステータスで必須になるフィールド ID のリスト
    • readonly:このステータスで読み取り専用になるフィールド ID のリスト
    • visible:このステータスで表示されるフィールド ID のリスト
    • notmandatory:このステータスで任意になるフィールド ID のリスト
    • notvisible:このステータスで表示されなくなるフィールド ID のリスト
    注:

    オプションの属性を使用する場合、状況間で適切にフィールドが表示/非表示、必須/非必須、または読み取り専用になっていることを確認するのは作成者の責任です。

    たとえば、「visible」属性を使用しない限り、あるステータスでフィールドを非表示にすると、後で別のステータスで表示されることはありません。

    プロセスフロー定義のアレイ

    プロセスフローフォーマッター (セキュリティインシデントおよび応答タスクフォームの上部にあるバー) に表示される情報を定義するには、各ステータスの表示内容に関する情報がシステムに必要です。

    例:
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    TASK_PF アレイは、プロセスフォーマッターバーに表示されるテキスト (順序とアクティビティを含む) を決定するために使用されるラベル、条件、および説明のコレクションです。

    この例では、「準備完了」というテキストが 2 番目に表示されます。タスクが条件「state=10^EQ」を満たした場合にハイライト表示されます。

    ポインターをテキストの上に置くと、「セキュリティインシデントレスポンスタスクをアサインする準備ができました」という説明が表示されます。

    注:

    状況は、単一のフォーマッター状況に結合できます。

    この例では、[完了してクローズ] 状況と [キャンセル] 状況の両方がトップバーに [クローズ済み] として表示されます。

    メソッド呼び出し
    次のメソッドは sn_si.ProcessDefinition で使用されるため、スクリプトインクルードに存在する必要があります。
    戻り値の型 メソッドの概要 説明
    文字列 getInitialIncidentState: function() 初期インシデント状況の数値を返す
    文字列 getInitialTaskState: function(): 初期タスクステータスの数値を返す
    文字列のアレイ getIncidentStates: function(): インシデント状況のアレイを返す
    文字列のアレイ getTaskStates: function(): タスクステータスのアレイを返す
    オブジェクトのアレイ getIncidentProcessFlows: function(): インシデントプロセスフロー定義アレイを返す
    オブジェクトのアレイ getTaskProcessFlows: function(): タスクプロセスフロー定義アレイを返す

    次の一連のメソッドは、インシデントまたはタスクが更新されるたびに呼び出され、特定の変更移行に対してアクションを実行できるようにします。

    戻り値の型 メソッドの概要 説明
    なし performIncidentStateChange: function(current, previous) 例では、このメソッドを使用して SM 関連の値を設定し、誰かがインシデントにアサインされると、インシデントが [ドラフト] から進むようにします。
    なし performTaskStateChange: function(current, previous) 例では、このメソッドを使用してタイムスタンプ (アサイン時とクローズ時) を更新し、assigned_to フィールドが入力されるとタスクを [準備完了] から [アサイン済み] に進めます。
    これら 2 つのメソッドで実行される同じアクションは、ビジネスルールを使用して実行できます。スクリプトインクルードで定義することで、プロセス定義の切り替えが容易になります。

    プロセス定義を使用して無効なセキュリティインシデントまたはタスクのステータスを修正する

    アドミニストレーターは、手動またはスクリプトを使用して、セキュリティインシデントまたはタスクを有効な状況に修正できます。使用可能な状況は、インシデントの現在の状況によって異なります。

    始める前に
    必要なロール:admin
    このタスクについて
    プロセス定義を切り替えた後、新しい定義で古いステータスの一部がサポートされない可能性があります。孤立したインシデントまたはタスクの状況を修正するには、プロセス定義を変更するか、スクリプトインクルードを編集するか、各インシデントまたはタスクを手動で開いて状況を更新します。一般に、ステータスの更新 (一括で実行可能) が最も簡単な解決策です。

    一括で状況を変更するには、次の手順を実行します。

    手順
    1. 移動先 すべて > プロセスの選択.
    2. 変更するインシデントまたはタスクの [ステータス (State)] フィールドをハイライト表示します。
    3. 最初のレコードの [ステータス (State)]フィールドをダブルクリックし、新しい [ステータス (State)] を選択し、緑色のチェックマーク (緑色のチェックマーク) をクリックして、変更を完了します。
      修正された定義の例
    4. [更新] をクリックします。

    セキュリティインシデントグループの作成

    セキュリティインシデントグループをセットアップし、適切なロールとユーザーをグループにアサインします。

    始める前に

    必要なロール:
    • user_admin ロールを持っている場合は、セキュリティインシデントアサイン先グループを作成できます。
    • sn_si.admin ロールを持っている場合は、セキュリティインシデントアサイン先グループの作成と編集ができます。

    このタスクについて

    グループに属するユーザーはグループのロールを継承するため、各ユーザーに個別にロールをアサインする必要はありません。

    組織に必要な数だけグループを作成することをお勧めします。アドミン用に 1 つのグループを作成し、そのグループのみに admin ロールをアサインすることもお勧めします。

    手順

    1. 移動先 すべて > ユーザー管理 > グループ または セキュリティインシデント > セットアップ > グループ.
    2. [新規] をクリックします。
    3. フォームのフィールドに入力します。
      注:

      詳細については、「ユーザーグループの作成」を参照してください。

    4. このグループには、[セキュリティインシデント] タイプを選択してください。
      1. [タイプ] フィールドが表示されていない場合は、フォームを構成して追加します。
      2. [タイプ] フィールドの横にあるロックアイコンをクリックします。
      3. 参照ルックアップアイコン (ルックアップアイコン) をクリックします。
      4. [セキュリティインシデント] タイプを検索して選択します。
    5. フォームヘッダーを右クリックし、[保存] を選択します。
    6. [ロール] 関連リストで、このグループの各メンバーが受け取るロールを追加します。
      たとえば、セキュリティインシデントレスポンス チームメンバーのグループを作成する場合は、sn_si.analyst を追加します。セキュリティインシデントレスポンス アドミンのグループを作成する場合は、sn_si.admin を追加します。
    7. [グループメンバー] 関連リストで、このグループにユーザーを追加します。
    8. [更新] をクリックします。

    セキュリティインシデント算出グループの作成

    セキュリティインシデント算出グループは、算出をグループ化するために使用されます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. 移動先 すべて > セキュリティインシデント > セットアップ > セキュリティインシデント算出グループ.
    2. [新規] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      フィールド 説明
      名前 セキュリティインシデント算出の名前
      アプリケーション このレコードを含んでいるアプリケーション。
      順序 セキュリティインシデント算出が実行される順番。順序エントリーが 100 の算出は、順序エントリーが 200 の算出の前に実行されます。
      説明 この算出グループの説明。
      作成者 作成したユーザーの名前を入力します。
    4. [Submit] をクリックします。

    セキュリティインシデント算出の作成

    セキュリティインシデント算出を使用すると、事前定義された式に基づいてセキュリティインシデントの重大度を計算できます。必要に応じて、独自のセキュリティインシデント算出を定義できます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. 移動先 すべて > セキュリティインシデント > セットアップ > セキュリティインシデント算出グループ.
    2. 算出を作成するグループの名前をクリックするか、算出グループを作成します。
    3. [新規] をクリックします。
    4. 必要に応じて、フォームのフィールドに入力します。
      フィールド 説明
      名前 セキュリティインシデント算出の名前
      算出グループ この算出が属するグループの名前
      注:
      [名前][テーブル] に入力した後、算出グループの作成または変更ができるようになります。
      テーブル

      この算出で使用するテーブルを選択します。

      脆弱性 [sn_vul_vulnerability] や脆弱性一致アイテム [sn_vul_vulnerable_item] 以外のテーブルに算出を追加する場合は、これらのテーブルにビジネスルールと UI アクションを追加する必要があります。例を表示するには:
      • 移動先 システム定義 > ビジネスルールをクリックし、Vulnerable Item [sn_vul_vulnerable_item] テーブルで Calculate Severity ビジネスルールを見つけます。
      • 移動先 システム UI > UI アクションをクリックし、Vulnerable Item [sn_vul_vulnerable_item] テーブルで [Calculate Severity ] UI アクションを見つけます。

      また、脆弱性アドミンロールには、算出で使用されるすべてのテーブルに対する完全な読み取り/書き込み (または save_as_template) 機能を付与し、テンプレートに適用する値を正しく表示できるようにする必要があります。
      アプリケーション 算出が属するスコープ対象のアプリケーション。
      順序 セキュリティインシデント算出が実行される順番。順序エントリーが 100 の算出は、順序エントリーが 200 の算出の前に実行されます。
      有効 計算機をオンまたはオフにします。
      説明 この算出の説明。
    5. フォームヘッダーを右クリックし、[保存] を選択します。
      [条件] および [適用する値 (Values to Apply)] タブが表示されます。
    6. 必要に応じて、[条件] タブのフィールドに入力します。
      フィールド 説明
      フィルタグループを使用 事前定義フィルターグループを使用するか、または新しいフィルターグループを作成して算出基準を定義する場合は、このチェックボックスをオンにします。
      フィルターグループ 算出の定義に使用するフィルターグループを選択します。

      このフィールドは、[フィルターグループを使用] チェックボックスをオンにした場合のみ表示されます。
      詳細条件を使用 このチェックボックスをオンにすると、スクリプト条件を使用して、この算出が適用されるタイミングを決定できます。チェックボックスをオンにすると、[詳細条件] スクリプトフィールドが表示されます。

      [フィルターグループを使用] チェックボックスをオンにした場合、このフィールドは非表示になります。

      注:
      詳細条件を定義し、セキュリティインシデント算出を適用するタイミングを決定するスクリプトを記述する前に、[セキュリティインシデント算出] リストに戻ります。ベースシステムに付属している算出レコードを確認します。
      条件 算出を使用するかどうかを決める基本的なフィルター条件を定義します。

      [フィルターグループを使用] または [詳細条件を使用] チェックボックスをオンにした場合、このフィールドは非表示になります。
    7. [適用する値 (Values to Apply)] タブをクリックし、必要に応じてフォームのフィールドに入力します。
      算出に適用する値を定義するためのスクリプトを作成するか、選択したテーブルのフィールドに基づいてテンプレートを定義するかを選択できます。
      フィールド 説明
      スクリプト値の使用 スクリプトでフィールド値を定義するには、このチェックボックスをオンにします。
      スクリプト値 計算を適用する値を定義します。

      このフィールドは、[スクリプト値の使用] チェックボックスをオンにした場合のみ表示されます。
      テンプレート フォームヘッダーを右クリックし、[保存] を選択します。計算機に使用するフィールドと値を選択します。
    8. すべての入力が完了したら、[送信] をクリックします。

    セキュリティインシデント算出の理解

    セキュリティインシデント算出は、事前定義された条件が満たされたときにレコード値を更新するために使用されます。算出は、レコードの更新方法を決定するために使用される基準に基づいてグループ化されます。

    セキュリティインシデントレスポンス ベースシステムには、次のセキュリティインシデント算出グループと算出が含まれています。各グループ内で、条件に一致する最初の計算が実行されます。

    表 : 5. ベースシステムのセキュリティインシデント算出
    セキュリティインシデント算出のグループ名 グループに含まれる算出 説明
    ビジネスインパクト 重大度算出から集計 この算出では、その他のフィールドの値を重み付けすることにより重要度を決定する Security Criticality Calculator に委任します。
    重大度 影響を受ける事業 この重大度算出では、シンプルな条件ビルダーを使用して選択基準を定義します。
    影響を受けた重要サービス この重大度算出では、詳細条件を使用して選択基準を定義します。

    セキュリティインシデントの構成アイテムが重要性の高いビジネスサービスに関連付けられている場合、[リスクスコア][ビジネスインパクト]、および [優先度] フィールドは、算出で定義されたとおりに昇格されます。
    重要なサービス変更 この重大度算出では、詳細条件を使用して選択基準を定義します。

    セキュリティインシデントが条件を満たしている場合、スクリプトが実行され、フィールドがどのレベルに昇格されるかを定義します。セキュリティインシデントの構成アイテムが最も重大またはやや重要なビジネスサービスに関連付けられている場合、[リスクスコア][ビジネスインパクト]、および [優先度] フィールドは、算出で定義されたとおりに昇格されます。
    複数攻撃ベクトル この重大度算出では、シンプルな条件ビルダーを使用して選択基準を定義します。

    セキュリティインシデントの構成アイテムが Web、メールおよび代理操作の攻撃ベクトルに関連付けられている場合、[リスクスコア][ビジネスインパクト]、および [優先度] フィールドは、算出で定義されたとおりに昇格されます。
    カテゴリとサービスを使用して優先度を設定 この重大度算出では、詳細条件ビルダーを使用して選択基準を定義します。
    次の条件が満たされた場合、セキュリティインシデントの優先度は [1 - 重大] に設定されます。
    • 影響を受けるサービスがセキュリティインシデントに関連付けられており、そのうちの 1 つが重大である。
    • セキュリティインシデントのカテゴリが次のいずれかである。
      • サービス拒否
      • スピアフィッシング
      • 悪意のあるコードアクティビティ
    注:
    この算出は、Starter Security Operations の価格階層がある場合にベースシステムで使用できます。
    観測可能項目の優先度を設定 この重大度算出では、詳細条件ビルダーを使用して選択基準を定義します。
    次の条件が満たされた場合、セキュリティインシデントの優先度は [1 - 重大] に設定されます。
    • 影響を受けるサービスがセキュリティインシデントに関連付けられており、そのうちの 1 つが重大である。
    • セキュリティインシデントのカテゴリが次のいずれかである。
      • サービス拒否
      • スピアフィッシング
      • 悪意のあるコードアクティビティ
    • 関連する観測事象またはインジケーターの 1 つのサイティング回数が、アクティブなインジケーターによる 2 回のサイティングを超えています (複数のソースからの観測事象またはインジケーターが不適切であると確認されています)。
    注:
    この算出をベースシステムで使用できるのは、Advanced Security Operation の価格階層があり、Threat Feeds プラグインをアクティブ化している場合です。
    ユーザー重要度 ユーザー重要度を取得 この重大度算出では、シンプルな条件ビルダーを使用して選択基準を定義します。

    この重大度算出では、[部門] フィールドが [経理] に変更されたときに、ユーザーのビジネス上の重要度が [1 - 重大] に変更されます。
    ユーザーグループ重要度を取得 この重大度算出では、詳細条件ビルダーを使用して選択基準を定義します。

    この重大度算出は、関連リストのデータで実行される算出の例です。

    重大度算出

    セキュリティインシデントを作成すると、[リスクスコア][ビジネスインパクト]、および [優先度] フィールドにデフォルト値が入力されます。インシデントを保存すると、ビジネスルールによって、アクティブな重大度算出で定義された条件に照らしてセキュリティインシデントの情報が自動的に検証されます。これらは、各算出の [順序] フィールドで定義された順序で、一度に 1 つずつセキュリティ算出が検証されます。セキュリティインシデントの情報がいずれかの算出で定義された条件と一致する場合、重大度フィールドの値は算出で設定されたルールに従って更新されます。

    たとえば、影響を受ける CI のセキュリティインシデントを作成し、その CI の重要性が高いとします。セキュリティインシデントが保存されると、CI 情報が重大度算出で定義された条件と比較されます。[影響を受けた重要サービス] の重大度算出に照らしてセキュリティインシデントが検証されると、重大度フィールドが自動的に更新され、次のようなメッセージがセキュリティインシデントの上部に表示されます。

    セキュリティインシデントの上部にあるメッセージ

    これらの重大度算出をそのまま使用することも、ビジネスのニーズに細かく合わせて編集することもできます。たとえば、経理の事業部門に固有の Web およびメールの脅威を特定する場合は、[複数攻撃ベクトル] 算出の条件を変更できます。
    • [攻撃ベクトル] [含む] [Web]
    • [攻撃ベクトル] [含む] [メール]
    • [事業部門] [含む] [経理]

    レコードを開き、[重大度の計算] 関連リンクをクリックすることで、既存のセキュリティインシデントの重大度の値をいつでも更新することもできます。

    セキュリティインシデントリスクスコア算出

    [カテゴリとサービスを使用して優先度を設定] および [観測可能項目の優先度を設定] 算出は、セキュリティインシデントのリスクスコアを計算するために使用されます。

    ユーザー重要度算出

    [ユーザー重要度] グループの 2 つの算出 ([ユーザー重要度を取得] および [ユーザーグループ重要度を取得]) では、ユーザーレコードで定義された基準またはユーザーが属するグループに基づいて重要度をどのように算出できるかの例を示します。

    これらは、必要に応じて編集したり、新しいユーザー重要度算出を作成したりできます。

    [ユーザー重要度を取得] 算出では、[部門] フィールドが [経理] に変更されたときに、ユーザーのビジネス上の重要度が [1 - 重大] に変更されます。

    [ユーザーグループ重要度を取得] 算出では、ユーザーが [データベース] グループに追加されたときに、ユーザーのビジネス上の重要度が [1 - 重大] に変更されます。
    注:
    [ユーザーグループ重要度を取得] は、関連リスト内のデータに対して実行される算出の 1 つです。重要度の変更を開始するグループをさらに追加する場合は、スクリプトの最初の行にグループ sys_id のカンマ区切りリストを追加します。例:var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id]

    セキュリティインシデントリスクスコア算出

    リスクスコアは、セキュリティインシデントの優先度、セキュリティインシデントのタイプ (サービス拒否、スピアフィッシング、または悪意のあるコードアクティビティ)、およびインジケーター上の否定的な評価スコアの要因となったソース数に基づくリスクを表す算術平均として計算されます。

    リスクスコアは、アナリストのセキュリティインシデント作業の優先順位付けに役立ちます。
    重要:
    新しいリスクスコア算出を使用する場合は、「新しいリスクスコア算出ルールの定義」を参照してください。
    [カテゴリとサービスを使用して優先度を設定] および [観測事象の優先度を設定] セキュリティインシデント算出は、セキュリティインシデントのリスクスコアを計算するために使用されます。さらに、次のビジネスルールによってリスクスコアの自動計算がトリガーされます。
    • 重大度の計算
    • リスクスコアの更新
    • SI リスクスコアの更新
    注:
    ベースシステムで利用できるリスク算出は、Security Operations の価格階層によって異なります。
    ベースシステムのセキュリティインシデントのリストを表示すると、[リスクスコア] 列があることを確認できます。
    図 : 1. セキュリティインシデント
    セキュリティインシデントとリスクスコア
    リスクスコアは、リスクスコア設定で定義された重み付けを使用して計算されます。
    図 : 2. リスクスコア設定
    リスクスコアの重み付け

    たとえば、セキュリティインシデントの [ビジネスインパクト][2 - 高い] に設定され、[優先度][3 - 中] に設定されている場合、[リスクスコアの重み付け] テーブル内のそれぞれの重み付けは、次のようにルックアップおよび計算されます。

    セキュリティインシデントのビジネスインパクトが 2 の場合、重み付けは 60 です。

    セキュリティインシデントの優先度が 3 の場合、重み付けは 40 です。

    (60 + 40)/2 = リスクスコア 50。

    セキュリティインシデントリスト内のセキュリティインシデントの位置は、更新されたリスクスコアに基づいて並べ替えられます。

    上記の例で、セキュリティインシデントのビジネスインパクトまたは優先度が変更されると、リスクスコアが再計算され、変更が作業メモに反映されます。
    図 : 3. 作業メモ
    リスクスコア計算後の作業メモ
    作業メモは、次のフィールドが変更されてリスクスコアが更新されたときに更新されます。
    • セキュリティインシデントフォームの [ビジネスインパクト]
    • セキュリティインシデントフォームの [優先度]
    • セキュリティインシデントフォームの [重大度] (デフォルトでは非表示)
    • [影響を受けるユーザー] 関連リストの [ビジネスインパクト]
    • [影響を受けるサービス] 関連リストの [ビジネスインパクト]
    • [脆弱性一致アイテム] 関連リストの [ビジネスインパクト]
    さらに、作業メモは、次の状況で更新されます。
    • 影響を受けるユーザーとセキュリティインシデントの関連付けが作成または変更されたとき
    • 影響を受けるサービスとセキュリティインシデントの関連付けが作成または変更されたとき
    • 脆弱性一致アイテムとセキュリティインシデントの関連付けが作成または変更されたとき

    また、作業メモは、[リスクスコアの重み付け] フォームで [すべてのリスクスコアを更新] および [すべてのリスクスコアをクリア] がクリックされるたびに更新されます。

    リスクスコアの重み付けの管理

    セキュリティインシデントのリスクスコアの計算に使用されるリスクスコアの重み付けは、個別に削除または更新できます。すべてのセキュリティインシデントに対して削除または更新することもできます。セキュリティインシデントからの重み付けの削除機能は、重み付けの値を変更する場合に役立ちます。

    始める前に
    必要なロール:sn_sec_cmn.admin
    注:
    sn_si.read ロールを持つユーザーは、セキュリティインシデントレスポンス でリスクスコア構成を表示できます。
    手順
    1. 移動先 すべて > セキュリティインシデント > セットアップ > リスクスコア設定.
      注:
      sn_si.read ロールを持つユーザーは、次の場所に移動してリスクスコア構成を表示できます。 セキュリティインシデント > アラートとイベント > リスクスコア設定.
    2. 新しいリスクスコアの重み付けを追加するには、[新規] をクリックし、フィールドに情報を入力します。
      フィールド 説明
      タイプ 定義するリスクスコアのタイプを選択します。
      選択したタイプに関連付けられた値を指定します。タイプで複数の値が利用可能な場合は、複数のリスクスコア重み付けレコードを定義することもできます。例:セキュリティインシデント優先度の値が 1、セキュリティインシデント優先度の値が 2 などです。
      重み付け 選択したタイプ/値のペアに関連付けられた重み付け。有効なエントリーは 0 〜 100 で、0 が最小の重み付け、100 が最大です。
    3. [Submit] をクリックします。
    4. 必要に応じて、次の手順を実行します。
      • リスクスコアの重み付けレコードをクリアするには、リストからレコードを開いて、[削除] をクリックします。
      • すべてのリスクスコアの重み付けレコードをクリアするには、[すべてのリスクスコアをクリア] をクリックします。
      • すべてのリスクスコアの重み付けレコードを更新するには、[すべてのリスクスコアを更新] をクリックします。

    セキュリティインシデントレスポンス SLA の作成

    セキュリティインシデントレスポンス の Service Level Agreement (SLA) を定義できます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. 移動先 すべて > セキュリティインシデント > セットアップ > SLA.
    2. [新規] をクリックします。
      フィールドの説明と詳細な手順については、「Create an SLA definition」を参照してください。

    セキュリティインシデント SLA の修理

    SLA のタイミングと期間の情報が正確になるように、SLA レコードを修理することができます。

    始める前に

    必要なロール:sn_si.basic

    手順

    1. SLA を修理するセキュリティインシデントがまだ開いていない場合は、これを開きます。
    2. フォームヘッダーのコンテキストメニューをクリックし、[SLA の修理] を選択します。
      フォームヘッダーメニューからの SLA の修理
    3. 警告の確認ボックスで [OK] をクリックします。
      詳細については、「SLA の修理」を参照してください。

    セキュリティインシデントレスポンス Runbook の作成

    Runbook は、公開されたナレッジ記事と特定のタスクとの関連付けです。タスクを実行している間、Runbook のナレッジ記事が自動的に開き、タスクに関連する情報が提供されます。

    始める前に

    セキュリティインシデントレスポンス Runbook ナレッジベースにナレッジ記事が存在している必要があります。セキュリティインシデントナレッジ記事を作成するときは、必ず [ナレッジベース] フィールドで [セキュリティインシデントレスポンス Runbook] を選択します。記事を公開した後、[Runbook を作成] ボタンをクリックできます。

    必要なロール:sn.si.knowledge_admin

    このタスクについて

    セキュリティインシデントまたは応答タスクの作成プロセス中に Runbook を使用するか、または Runbook のナレッジベース記事をプレイブックのタスクに関連付けることができます。

    手順

    1. 移動先 すべて > セキュリティインシデント > 手動 Runbook > 新しい Runbook を作成.
    2. 必要に応じて、フィールドに入力します。
      フィールド 説明
      ナレッジ記事 Runbook に含めるナレッジ記事を選択します。
      有効 [フィルターナビゲーター] から Runbook を利用できるようにするには、このボックスをオンにします。
      フィルタグループを使用 事前定義フィルターグループを使用するか、または新しいフィルターグループを作成して Runbook 基準を定義する場合は、このチェックボックスをオンにします。
      フィルターグループ Runbook の定義に使用するフィルターグループを選択します。

      このフィールドは、[フィルターグループを使用] チェックボックスが選択されている場合にのみ表示されます。
      テーブル セキュリティインシデント [sn_si_incident] または セキュリティインシデントレスポンス タスク [sn_si_task] を選択します。

      [フィルターグループを使用] チェックボックスをオンにしてフィルターグループを選択した場合、このフィールドは、選択したフィルターグループに関連付けられたテーブルにデフォルトで設定されます。
      条件 この Runbook をインシデントまたはタスクに関連付ける条件を設定します。

      [フィルターグループを使用] チェックボックスをオンにしてフィルターグループを選択した場合、[条件] フィールドは表示されません。
    3. フォームヘッダーを右クリックし、[保存] を選択します。
      [ナレッジ記事の詳細] タブと一連のボタンが表示されます。
    4. Runbook の詳細を表示するには、[ナレッジベースの詳細 (Knowledge Base Details)] タブをクリックします。
    5. ユーザーに表示されるナレッジ記事を表示するには、[記事の表示] をクリックします。
    6. 終了 ナレッジ記事の詳細を編集するには[記事の編集] をクリックします。

    ユーザーから報告されたフィッシング攻撃を検証するためのルールの作成

    従業員がフィッシング攻撃と思われるメールを受信した場合、フィッシングメールアドレスを使用して報告を受けることができます。不審なメールは、組織で定義されたルールを使用して検証されます。

    始める前に

    メール一致ルールを使用して潜在的なフィッシング攻撃を特定する前に、従業員から転送されるメールを処理するための送信先メールアドレスを定義します。このメールアドレスを定義する場合には、次のオプションがあります (会社のメールドメインが acme.com である場合)。
    • acme+phishing@service-now.com などのメールアドレスを定義します。+phishing タグは、フィルタリングを有効にするよう SMTP でサポートされており、インスタンスはそこに送信されたメールを受信できます。
    • phishing@acme.com (Exchange メールボックス) などのメールアドレスを定義し、このアドレスから acme+phishing@service-now.com (メール転送ルールによって定義されたインスタンスメールボックス) に転送されるようにします。

    必要なロール:sn_sec_cmn.write

    このタスクについて

    従業員が不審なメールを見つけた場合は、それを添付ファイルとしてフィッシングメールアドレスに転送する必要があります。添付されたメールが脅威を定義するルールに一致する場合、セキュリティインシデントが作成されます。

    手順

    1. 移動先 すべて > Security Operations > メール処理 > ユーザーから報告されたフィッシング.
    2. [新規] をクリックします。
    3. 必要に応じて、フィールドに入力します。
      表 : 6. メール一致ルールフォーム
      フィールド 説明
      名前 このメール一致ルールの名前。たとえば、「ユーザーから報告されたフィッシング」などです。
      条件 次を使用: 会社のフィッシングメールアドレスに送信されたメールがフィッシング攻撃かどうかを検証する条件ビルダー。以下の例を参照してください。
    4. [Submit] をクリックします。

    この例は、ユーザーから報告されたフィッシングを処理するための一致ルールを示しています。
    図 : 4. メール一致ルールの例
    メール一致ルール