セキュリティインシデント - Web/BBS の改ざんワークフローテンプレート
セキュリティインシデント - Web/BBS の改ざん - テンプレートを使用すると、組織の BBS または Web サイトのいずれかに向けられた破壊行為を処理するように設計された一連のタスクを実行できます。
始める前に
必要なロール:sn_si.write
このタスクについて
このワークフローは、セキュリティインシデントの [カテゴリ] が [Web/BBS の改ざん] に設定された場合にトリガーされます。このアクションにより、ワークフローの最初のアクティビティとして応答タスクが作成されます。
手順
- この Web または BBS の改ざんの事例のセキュリティインシデントを開くか、新しいセキュリティインシデントを作成します。
- [カテゴリ] で、[Web/BBS の改ざん] を選択します。
- レコードを保存します。
-
下にスクロールして、[応答タスク] 関連リストを開きます。
一連の応答タスクの最初のタスクが表示されます。レコードが保存されるたびに、前のタスクへの対応に応じて、次の応答タスクが作成されるかワークフローが終了します。
表 : 1. Web/BBS 改ざんテンプレートの応答タスク 応答タスク アクション 結果 セキュリティインシデントアサイン Web サイトまたは BBS の改ざんが報告された各インシデントのセキュリティインシデントを作成します。 次の応答タスクが実行されます。 改ざんは検証されていますか?(Defacement verified?) Web サイトまたは BBS が実際に改ざんされているかどうかを判断します。 タスク内の [結果] で [はい] または [いいえ] を選択します。
[はい] を選択すると、次の応答タスクが実行されます。 - PR プロセス (PR process)
- 法律の執行プロセス (Law enforcement process)
- 根本原因の特定と除去 (Determine and eradicate root cause)
PR プロセス (PR process) Web サイトまたは BBS が改ざんされたことを一般に通知するために必要な手順を実行します。 PR プロセスが完了したら、必要に応じてタスクのステータスを [完了] または [未完了] に設定します。
[学んだ教訓に関するミーティング] タスクが実行されます。 法律の執行プロセス (Law enforcement process) 攻撃に関して適切な法執行機関を関与させるために必要な手順を実行します。 完了したら、必要に応じてタスクのステータスを [完了] または [未完了] に設定します。
[学んだ教訓に関するミーティング] タスクが実行されます。 根本原因の特定と除去 (Determine and eradicate root cause) 改ざんの根本原因を発見して除去するために必要な手順を実行します。 必要に応じてタスクの [ステータス (State)] フィールドを更新します。
タスクのステータスを [完了してクローズ] または [キャンセル] に変更した場合、次の応答タスクが実行されます。 バックアップからサイトを復元 (Restore site from backup) Web サイトまたは BBS のバックアップと復元に必要な手順を実行します。 必要に応じてタスクの [ステータス (State)] フィールドを更新します。
タスクのステータスを [完了してクローズ] または [キャンセル] に変更した場合、次の応答タスクが実行されます。 サイト復元のテストと検証 (Test and verify site is restored) サイトが復元されたことを検証します。 完了したら、必要に応じてタスクのステータスを [完了] または [未完了] に設定します。
[学んだ教訓に関するミーティング] タスクが実行されます。 学んだ教訓に関するミーティング 反省会を開催し、この Web サイト/BBS 改ざんインシデントに対して実行された作業をトリアージします。 必要に応じてタスクの [ステータス (State)] フィールドを更新します。
タスクのステータスを [完了してクローズ] または [キャンセル]に変更すると、[ステータスをレビューに設定 (Set state to review)] タスクが実行されます。 ステータスをレビューに設定 (Set state to review) アクションは要求されません。 セキュリティインシデントの [ステータス (State)] が、自動的に [レビュー] に変更されます。 フローが終了します。