自動マルウェアプレイブック フローの実行

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:9分

    • このフローを使用してプレイブックのタスクを自動化し、組織に対するマルウェア攻撃を分析して解決します。

    始める前に

    • 必要なロール:sn_si.admin、flow_designer、および action_designer
    • 正しい認証情報を使用して、次の統合をインストールして構成します。
      • Security Operations 用の Palo Alto Networks WildFire
      • サイティング検索 (Splunk)
      • ブロック要求
      • 脅威のルックアップ
      • 観測事象を拡張

      セキュリティインシデント - 自動マルウェアプレイブック テンプレートをアクティブ化する前に、これらの統合が正常に機能していることを確認します。

    • Security Operations Palo Alto Networks Wildfire アプリ:自動マルウェアプレイブック フローにアクセスするには、Security Operations スポークと Security Operations Palo Alto Networks - WildFire アプリを ServiceNow Store からインストールする必要があります。Security Operations Palo Alto Networks Wildfire アプリがインストールされていない場合、次のような「アクション番号 15.4.1 のワークフローが見つかりません (workflow on action number 15.4.1 not found)」というエラーが表示されます。

      Palo Alto Networks Wildfire アプリのエラーメッセージ

      このアプリをインストールしない場合は、自動マルウェアプレイブック フローからステップ 15.2、15.3、および 15.4 を削除します。

    • 次の条件が満たされていることを確認します。
      • セキュリティインシデントが、適切な承認グループに属するセキュリティアナリストにアサインされている。
      • インシデントを処理するセキュリティアナリストは、有効なメールアドレスを持っている必要がある。
      • 必要な構成アイテムと観測事象がセキュリティインシデントに追加されている。
    • ステップ 21 (承認を求める) で、グループを [セキュリティインシデントアサイン先 (Security Incident Assignment)] から希望するグループに変更します。
    • フローのステップ 21 は、承認要求がアドミニストレーターに送信される必須のタスク承認ステップです。要求を承認するには、アドミニストレーターが [タスクの承認 (Task Approvals)] ページに移動し、[ステータス (State)] フィールドを [承認済み] に設定する必要があります。タスクが承認されない場合、フローデザイナーはそれ以上先に進むことができず、プロセスは終了します。

    このタスクについて

    悪意のあるコードアクティビティがネットワークで検出されると、セキュリティインシデントが作成され、自動マルウェアプレイブック フローが起動します。自動マルウェアプレイブック フローで定義されたタスクを使用して、脅威をトリアージ、分析、封じ込め、および根絶できます。

    手順

    1. 移動先 すべて > フローデザイナー > デザイナー をクリックして、Security Operations スポークで利用可能なフローを表示します。
    2. [セキュリティインシデント:自動化マルウェアプレイブック:テンプレート VI] リンクをクリックします。
    3. [フロー] ページで、 その他アイコン [その他] アイコン をクリックし、フローのコピーを作成して開き、使用できるようにします。
      これで、トリガー条件やアクションの変更、アクションの追加や削除など、フローを変更できるようになりました。自動マルウェアプレイブック テンプレート

      これは、フローで実行されるトリガーおよびステップを示しています。右側のパネルにはデータフローが表示されています。アイコンをクリックすると、ステップが展開され、詳細が表示されます。

    4. [トリガー] アイコンをクリックします。
      最初のステップでは、フローのトリガーを定義または設定します。条件が満たされたときに実行されるトリガーとタスクの条件を指定します。自動マルウェアプレイブック フロー:トリガー

      フローで定義された条件 ([カテゴリ] が [悪意のあるコードアクティビティ] であること) がインシデントレコードで満たされると、自動フィッシングフローのタスクの実行が順次開始されます。トリガーの変更、注釈の追加、条件の追加または削除などを行うことができます。

    5. フローの最初のステップは、[セキュリティインシデントレコードの更新 (Update Security Incident Record)] です。
      自動マルウェアプレイブック フロー:ステップ 1

      リンクをクリックし、 注釈アイコン 注釈アイコン をクリックして、悪意のあるコードアクティビティがあったこと、および自動マルウェア応答プレイブックフローの実行が開始されたことを示すセキュリティアナリスト向けのメモを追加します。

    6. フローのステップ 2 に進み、[タスクの作成] リンクをクリックします。

      このステップでは、必要なすべての観測事象がキャプチャされたかどうか、および調査を開始できるかどうかを確認する自動応答タスクが作成されます。

      自動マルウェアプレイブック フロー:ステップ 2

    7. 結果タイプが [いいえ] の場合は、調査を開始するための観測事象と CI がないことを示します。
      セキュリティインシデントレコードを更新すると、プレイブックがそれ以上先に進むことができないことが示されます。
    8. 結果タイプが [はい] の場合、「インシデント重大度を設定」サブフローは、正しい重大度をセキュリティインシデントに自動的にアサインします。
    9. 次のステップで、セキュリティインシデントレコードが更新されます。
    10. 次のステップでは、インシデントまたは選択したカテゴリに関連するすべての観測事象が収集され、後続のプレイブックステップで追加の自動アクションが実行されます。
    11. 次のステップでは、自動応答タスクが作成されます。
      このタスクは、すべての観測事象の評判を取得し、構成された統合を使用して拡張を実行するプロセスの開始をキャプチャします。
    12. ステップ 8 では、次の 2 つのサブフローが呼び出されます。
      • 観測事象の脅威ルックアップの実行:このサブフローは、脅威のルックアップ実装を使用してすべての観測事象の評判を取得するために使用されます。
      • 観測事象を拡張:このサブフローは、構成された実装で観測事象の拡張を実行するために使用されます。

      自動マルウェアプレイブック フロー:ステップ 8

      このタスクのアイコンを確認します。並列操作アイコン 並列操作アイコン は、両方のタスクが並列に実行されることを示し、サブフローアイコン サブフローアイコン は、次に示すように、実行中のタスクがサブフローであることを示します。

      自動マルウェアプレイブック フロー:ステップ 8.1.1

      [観測事象] フィールドの数字「5」に注目してください。これは、ステップ 5 で取得された観測事象に対して脅威のルックアップが実行されることを示しています。その結果、このサブフローは既存のワークフローとアクションを呼び出します。

    13. 次のステップで、[レコードの検索を実行 (Run the Look Up Records)] アクションが実行されます。
      このアクションは、親ワークフローが次のいずれかになるワークフローコンテキストレコードを検索するために使用されます。
      • 脅威ルックアップの抽象ワークフロー コンテキスト
      • 観測可能拡張の抽象ワークフロー コンテキスト
    14. 次のステップでは、8 つのレコードごとに評判とエンリッチメント結果がレビューされます。
    15. 後続ステップのレビューを続行します。
      1. セキュリティインシデントレコードの更新 (Update Security Incident Record):評判のルックアップと拡張アクティビティが完了したことを示すように、セキュリティインシデントレコードを更新します。
      2. タスクから観測事象を取得:セキュリティインシデントに関連付けられた悪意のあるすべての観測事象を取得します。
      3. タスクの作成:自動トリアージの実行が成功したかどうかをチェックして確認します。
    16. 悪意のある項目としてフラグが付けられた観測事象がある場合:
      1. セキュリティインシデントレコードの更新 (Update Security Incident Record):脅威が検出されたことを示す作業メモを投稿します。
      2. 観測事象から入力クエリを作成:10 件を超える観測事象に悪意のある項目としてフラグが付けられている場合、(Splunk または Carbon Black 上で)「観測事象でのサイティング検索」サブフローが実行されます。
    17. 観測事象に悪意のある項目としてフラグが付けられていない場合、フローは後続のステップに進みます。
      1. セキュリティインシデントレコードの更新 (Update Security Incident Record):脅威が検出されていないことを示す作業メモを投稿します。
      2. タスクから観測事象を取得:インシデントからのすべての SHA256 ハッシュ ID を識別します。
      3. 観測事象レコードを検索 (Look Up Observable Records):この条件を満たすレコードを検索します。
    18. 後続ステップのレビューを続行します。
      1. 悪意のある観測事象ごとに、[Security Operations Palo Alto Networks - Wildfire データ拡張の取得 (Security Operations Palo Alto Networks - Get Wildfire Data Enrichment)] ワークフローが実行されます。
      2. 調査結果が満足のいくものであるかどうかを確認します。
        疑わしいマルウェアがランサムウェア攻撃であるかどうかを確認するための応答タスクが作成されます。「はい」の場合、ランサムウェアプレイブックサブフローが実行されます。
      3. 次のステップでは、分析のサマリと封じ込め手順を開始するための承認要求を含むメールが送信されます。
      4. 要求された承認の詳細をキャプチャするタスクが作成されます。
      5. 次のステップは、セキュリティインシデントレコードの更新です。
        承認要求が行われたことをセキュリティアナリストに知らせる作業メモを投稿します。
      6. SOC マネージャーにマルウェア攻撃を封じ込めるための承認を要求します。
        ステップ 21
        注:
        フローによって承認要求が生成されると、作業メモは次のメッセージで更新されます。
        <task id> の承認要求が行われました。封じ込めを続行します。(An Approval request has been made for <task id> proceeding with containment.) このタスクを承認するには、SOC マネージャーとして次の手順を手動で実行します。
        • [タスクの承認 (Task Approvals)] ページに移動します。
        • 承認のリストが表示されます。承認する <task id> をクリックします。
        • ステータスを [承認] に変更して、更新された <task id> を保存します。
      7. 次のステップでは、セキュリティインシデントレコードが更新され、承認ステータスが追跡されます。
      8. 次に、封じ込め手順を開始するためのタスクが作成されます。
      9. 「悪意のある観測事象のブロック要求の作成の実行 (Run the Create Block Requests for Malicious Observables)」サブフローが実行され、感染したデバイスとその資産を再ビルドする要求を含むインシデントレコードが作成されます。
      10. 次に、サイティング検索を実行して環境が安全かどうかを確認するタスクが作成されます。
        サイティング検索は、サイティングが見つからなくなるまで繰り返されます。
      11. 次に、セキュリティインシデントレコードでレビューの準備ができていることを示すタスクが作成されます。
      12. 最後に、レコードが更新され、[レビュー] ステージに移行します。

    次のタスク

    [テスト] をクリックすると、公開される前にフロー内のアクションをシミュレートできます。フローをテストした後、[アクティブ化] をクリックしてフローをアクティブ化して、実行できるようにします。

    [実行] をクリックして、フローの実行の詳細を表示します。

    自動マルウェアプレイブック フロー:実行