反復検出プレイブックを使用する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • このプレイブックを使用して、インシデントレスポンスが過去にそのものまたは類似のフィッシングレポートで提供されたかどうか、および同じように新しいレポートでも自動的に機能するかどうかを調査します。以下に示すステップは、反復検出プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されると、アクション 1 で、プレイブックは日の構成を使用してセキュリティインシデントの相対日付を取得します。
    2. アクション 2 では、プレイブックはメッセージ ID に基づいてインシデントと一致するテーブル sn_ti_m2m_task_observable のタスク観測可能レコードを検索します。
      図 : 1. 反復検出プレイブック
      メッセージ ID に基づいてタスク観測可能レコードを検索します。
    3. アクション 3 では、プレイブックは、メッセージ ID と一致したインシデントのレーベンシュタインアルゴリズムを使用して、タスク観測事象とメール本文を比較します。
    4. アクション 4 では、これまでに行った調査に基づいて、プレイブックはメッセージ ID に基づいて一致するインシデントが見つかったかどうかを確認します。
      アクション 5 では、一致するインシデントが見つかった場合に、プレイブックは繰り返し検出の自動化に基づいて一致が見つかった作業メモを自動的に更新します。アクション 6 で、フローは終了します。
    5. 一致するインシデントが見つからなかった場合に、アクション 7 で、プレイブックは件名に基づいてインシデントと一致するテーブル sn_ti_m2m_task_observable のタスク観測可能レコードを検索します。
    6. アクション 8 では、プレイブックは、件名と一致したインシデントのレーベンシュタインアルゴリズムを使用して、タスク観測事象とメール本文を比較します。
    7. アクション 9 では、プレイブックは一致するインシデントが見つかったかどうかを確認します。
      アクション 10 では、一致するインシデントが見つかった場合に、プレイブックは繰り返し検出の自動化に基づいて一致が見つかった作業メモを自動的に更新します。アクション 11 で、フローは終了します。
      図 : 2. 一致するインシデント
      一致するインシデントが見つかると、作業メモが更新されます。
    8. アクション 12 では、プレイブックはアドレスに基づいてインシデントと一致するテーブル sn_ti_m2m_task_observable のタスク観測可能レコードを検索します。
    9. アクション 13 では、プレイブックは、アドレスと一致したインシデントのレーベンシュタインアルゴリズムを使用して、タスク観測事象とメール本文を比較します。
    10. アクション 14 では、プレイブックはアドレスに基づいて一致するインシデントが見つかったかどうかを確認します。
      アクション 15 では、一致するインシデントが見つかった場合に、プレイブックは繰り返し検出の自動化に基づいて一致が見つかった作業メモを自動的に更新します。アクション 16 で、フローは終了します。