セキュリティインシデントレスポンスプレイブックアクション

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • このセクションでは、フローデザイナーアクションライブラリで提供されるアクションについて説明します。

    アクション名 説明 シナリオの例
    セキュリティインシデントにセキュリティタグを追加 このアクションを使用して、フローデザイナーロジックを使用してセキュリティタグを自動的に追加します。 フローが IOC を検出した場合、このアクションを使用して「IOC 検出済み」タグを自動的に追加できます。

    Flow :
    • 入力:セキュリティインシデント、セキュリティタグ
    • 出力:適用外
    セキュリティインシデントに観測事象を追加 (Add observables to the security incident) このアクションを使用して、選択したセキュリティインシデントに観測事象を追加します。
    • デフォルトでは、観測事象のリストはカンマ (,) 区切り文字で区切られます。ただし、この文字は変更できます。別の単一の特殊文字を区切り文字として指定できます。観測事象を追加する際、タイプ (URL、IP アドレス、ハッシュ) が自動的に設定されます。
    • 観測事象がセキュリティインシデントに追加されると、タイプ (URL、IP アドレス、ハッシュ) が自動的に設定されます。
    • 観測事象が追加されると、[許可リスト観測事象をフィルター] オプションによって許可リスト観測事象が識別され、セキュリティインシデントの観測事象関連リストから除外されます。これらの観測事象が削除されたことを示すために、自動システムアクティビティ (応答) が追加されます。
    • 入力:
      • セキュリティインシデント
      • 観測事象
      • 区切り文字
      • 許可リスト観測事象をフィルターし、アクティビティメモを投稿
    • 出力:適用外
    複数のセキュリティインシデント V1 から影響を受けるユーザー (関連リスト) を取得 指定されたセキュリティインシデントについて、[影響を受けるユーザー] 関連リストに記載されているすべての影響を受けるユーザーを取得します。 複数の子セキュリティインシデントを持つ親セキュリティインシデントがある場合があります。このアクションを使用して、影響を受けるユーザーを、すべての子セキュリティインシデントから対応する親セキュリティインシデントにロールアップします。影響を受ける一意のユーザーのみがロールアップされ、すべての重複が排除されます。
    • 入力:セキュリティインシデント
    • 出力:
      • 影響を受けるユーザー
      • カウント
    複数のセキュリティインシデントから影響を受けるユーザーを取得 指定されたセキュリティインシデントの影響を受けるプライマリユーザーを取得します。[影響を受けるユーザー] 関連リストの影響を受けるユーザーは含まれません。
    • フィッシングセキュリティインシデントの調査中に、(フィッシングインシデントを報告した) 影響を受けるプライマリユーザーにメールを送信して、ユーザーがフィッシングメール内の悪意のあるリンクをクリックしたかどうかを確認します。
    • 影響を受けるプライマリユーザーの数に基づいて、親セキュリティインシデントの重大度またはリスクスコアを更新します。
    • 入力:セキュリティインシデント
    • 出力:
      • 影響を受けるユーザー
      • カウント
    セキュリティインシデントから影響を受けるユーザー (関連リスト) を取得 指定されたセキュリティインシデントについて、[影響を受けるユーザー] 関連リストに記載されているすべての影響を受けるユーザーを取得します。
    • 入力:セキュリティインシデント
    • 出力:
      • 影響を受けるユーザー
      • カウント
    影響を受けるユーザーをセキュリティインシデントに追加 影響を受けるすべてのユーザーをセキュリティインシデントに追加します。 複数の子セキュリティインシデントを持つ親セキュリティインシデントがある場合、このアクションを使用して、影響を受けるユーザーを、すべての子セキュリティインシデントから対応する親セキュリティインシデントにロールアップできます。影響を受ける一意のユーザーのみがロールアップされ、すべての重複が排除されます。
    • 入力:
      • セキュリティインシデント
      • ユーザー
    • 出力:適用外
    影響を受けるユーザーの構成アイテムを取得 影響を受けるすべてのユーザーの構成アイテムを取得します。 フィッシングまたはマルウェアのシナリオでは、このアクションを使用して、[影響を受ける構成アイテム (CI)] 関連リストを更新し、CI を調査できます。特定された CI の数に基づいて、セキュリティインシデントの重大度またはリスクスコアを更新できます。
    • 入力:ユーザー
    • 出力:
      • 構成アイテム
      • カウント
    セキュリティインシデントのすべての子セキュリティインシデントを取得 特定の親セキュリティインシデントに関連するすべての子セキュリティインシデントを取得します。 シナリオ例:このアクションを使用して、次のことを行います。
    • 対応する親セキュリティインシデントのステータスが更新されたときに、子セキュリティインシデントのステータスを更新します。
    • 子セキュリティインシデントの数に基づいて、セキュリティインシデントの重大度またはリスクスコアを更新します。
    • 入力:
      • セキュリティインシデント
      • インシデント状況
    • 出力:
      • 子セキュリティインシデント
      • カウント
    観測事象の構成アイテムを取得 (IP アドレスタイプ) (Get configuration items for the observables (type IP address)) IP アドレスタイプの観測事象のすべての構成アイテム (CI) を取得します。 IP アドレス観測事象は、構成アイテムに関連付けることができます。たとえば、サーバーの IP アドレスです。このアクションを使用すると、サーバーの情報を取得できます。
    • 入力:観測事象 IP アドレス
    • 出力:
      • 構成アイテム
      • カウント
    悪意がある観測事象 (Is observable malicious) 観測事象のセット内に 1 つ以上の悪意がある観測事象が存在するかを示します。 脅威のルックアップが完了し、悪意のある観測事象の存在を特定したら、セキュリティインシデントの重大度またはリスクスコアを上げることができます。
    • 入力:セキュリティインシデント
    • 出力:悪意がある (true/false)
    メールを送信してユーザーのインタラクションを確認 (Send email to confirm user interaction) ユーザーの応答に応答してメールを送信します。 ユーザーがアプリケーションへのログインを複数回試行して失敗すると、ログイン失敗シナリオが発生します。この場合、ユーザーがログインを試行したかどうかを確認するメールがユーザーに送信されます。ユーザーの応答 (「はい」または「いいえ」) に応じて、さまざまなアクションを実行できます。

    フロー:ログイン失敗手動プレイブック
    許可リスト観測事象をフィルター このアクションを使用して、指定された観測事象のセットから許可リスト観測事象を除外します。 観測事象のセットから無視できる特定の観測事象を特定できます。これらの観測事象は、セキュリティインシデントの解決時に考慮されません。
    • 入力:セキュリティインシデント
    • 出力:
      • 許可リスト観測事象
      • カウント
    影響を受けるユーザーのパスワードをリセット このアクションを使用して、影響を受けるユーザーのパスワードをリセットします。 ユーザーアカウントがハッキングされた場合、またはユーザーがパスワードのリセットを要求した場合、パスワードをリセットするためのメールがユーザーに送信されます。

    フロー:ログイン失敗手動プレイブック
    影響を受けるユーザーのユーザーグループを取得 影響を受けるユーザーのユーザーグループの詳細を取得します。 組織内で 2 人以上のユーザーがフィッシングメールを報告した場合、そのユーザーが属するグループを特定し、影響を受けているユーザーがほかにいるかどうかを特定できます。
    • 入力:ユーザー
    • 出力:
      • ユーザーグループ
      • カウント