セキュリティインシデント - 不正サーバーまたはサービスワークフローテンプレート
セキュリティインシデント - 不正サーバーまたはサービス - テンプレートを使用すると、ネットワークに影響を与える不正なサーバーやサービスからのアクティビティの処理用に設計された一連のタスクを実行できます。
始める前に
必要なロール:sn_si.write
このタスクについて
このワークフローは、セキュリティインシデントの [カテゴリ] が [不正サーバーまたはサービス] に設定された場合にトリガーされます。このアクションにより、ワークフローの最初のアクティビティとして応答タスクが作成されます。
手順
- この潜在的な攻撃のセキュリティインシデントを開くか、新しいセキュリティインシデントを作成します。
- [カテゴリ] で、[不正サーバーまたはサービスアクティビティ (Rogue server or service activity)] を選択します。
- レコードを保存します。
-
下にスクロールして、[応答タスク] 関連リストを開きます。
一連の応答タスクの最初のタスクが表示されます。レコードが保存されるたびに、前のタスクへの対応に応じて、次の応答タスクが作成されるかワークフローが終了します。
表 : 1. 不正サーバーまたはサービステンプレートの応答タスク 応答タスク アクション 結果 不正サーバーまたはサービスは検証されましたか?(Rogue server or service verified?) 不正サーバーまたはサービスとの接続がネットワーク上で検証されているかどうかを判断します。 タスク内の [結果] で [はい] または [いいえ] を選択します。
[はい] を選択すると、次の 2 つのタスクが並行して実行されます。 - 影響を受けるシステムの特定 (Identify impacted system(s))
- データ損失の可能性?(Potential data loss?)
[いいえ] を選択すると、フローは終了します。
影響を受けるシステムの特定 (Identify impacted system(s)) 不正サーバーまたはサービスとの接触によって影響を受けるシステムを特定します。 このタスクが完了すると、[システムの更新 - 不正接続の削除 (Update system(s) - Remove rogue connections)] タスクが実行されます。 データ損失の可能性?(Potential data loss?) 不正サーバーまたはサービスとの接続が原因でデータ損失が発生したかどうかを判断します。 タスク内の [結果] で [はい] または [いいえ] を選択します。
[はい] を選択すると、[データ損失の可能性インシデントの作成 (Create potential data loss incident)] タスクが実行されます。 [いいえ] を選択すると、[システムの更新 - 不正接続の削除 (Update system(s) - Remove rogue connections)] タスクが実行されます。
データ損失の可能性インシデントの作成 (Create potential data loss incident) データ損失の可能性のセキュリティインシデントを作成するために必要な手順を実行します。 このタスクが完了すると、[システムの更新 - 不正接続の削除 (Update system(s) - Remove rogue connections)] タスクが実行されます。 システムの更新 - 不正接続の削除 (Update system(s) - Remove rogue connections) 不正接続を削除するために必要な手順を実行します。 このタスクが完了すると、[ステータスをレビューに設定 (Set State to Review)] タスクが実行されます。 ステータスをレビューに設定 (Set state to review) アクションは要求されません。 セキュリティインシデントの [ステータス (State)] が自動的に [レビュー] に変更され、[学んだ教訓に関するミーティング] タスクが実行されます。 学んだ教訓に関するミーティング 反省会を開催し、この不正サーバーまたはサービスインシデントに対して実行された作業をトリアージします。 必要に応じてタスクの [ステータス (State)] フィールドを更新します。
このタスクが完了すると、フローは終了します。