その他の追加の セキュリティインシデントレスポンス セットアップタスク

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:13分

    • グローバルドメインのアドミニストレーターは、セキュリティインシデントレスポンス が日常業務をどのように処理するかを構成します。

    始める前に

    必要なロール:sn_si.admin
    注:

    これらのオプションは、多くのサービス管理アプリケーションにとって標準であるため、サービス管理の用語を使用します。たとえば、要求はメインタスク (つまりセキュリティインシデント) に使用され、タスクはサブタスクまたは応答タスクに使用されます。

    グローバルドメインより下位のドメインのアドミンの場合、[構成] 画面を表示することはできますが、設定を変更することはできません。

    手順

    1. 次のように移動する。 All (すべて) > セキュリティインシデント > アドミニストレーション > 構成.
      アプリケーションを設定するためのオプションは、次のタブに整理されています。
      • [ビジネスプロセス] タブには、要求ライフサイクルの設定、カタログおよび要求の作成、通知の設定に関するオプションが含まれています。
      • [アサインメント] タブには、手動および自動アサインの設定に関するオプションが含まれています。
      • [アドオン] タブには、ナレッジベースの有効化、ドキュメント管理、およびタスクアクティビティに関するオプションが含まれています。
    2. [ビジネスプロセス] タブのフィールドに入力します。
      表 : 1. [構成] 画面 — [ビジネスプロセス] タブ
      フィールド 説明
      ライフサイクル
      作業メモは、要求またはタスクをクローズしたりキャンセルしたりするときに必要です このオプションを有効にすると、ユーザーは、作業メモを入力してからでないと、セキュリティインシデントまたは応答タスクをクローズまたはキャンセルできなくなります。
      タスク作業メモを要求へコピー このオプションを有効にすると、応答タスク作業メモがセキュリティインシデントの作業メモと同期されます。したがって、タスクに作業メモが追加されると、同じ作業メモが親セキュリティインシデントに表示されます。
      カタログと要求の作成
      受信メールによって要求を作成または更新 このオプションを有効にすると、セキュリティインシデントを受信メールから作成または更新できます。
      次のものを使用して、要求が作成されました: [カタログまたは通常のフォーム] を選択すると、カタログがアクティブ化され、セキュリティインシデントテンプレートのカタログへの自動公開が有効になります。

      [通常のフォームのみ] を選択すると、カタログが非アクティブ化され、セキュリティインシデントテンプレートのカタログへの自動公開が無効になります。
      テンプレートによる専用のカタログアイテムの作成 このオプションを有効にすると、アプリケーションのカタログアイテムの自動公開がアクティブ化されます。
      通知
      要求またはタスクの場合、選択したフィールドが変更されたときに受信者に通知を送信する (For a request or task, when the selected field changes, send notification to recipients) セキュリティインシデントや応答タスクの選択したフィールドが変更されたときに、特定の受信者に送信される通知を設定できます。
      1. [テーブル] から、[要求] (セキュリティインシデント) または [タスク] (応答タスク) を選択します。
      2. [フィールド] から、通知の生成に使用するフィールドを選択します。選択したフィールドに変更が加えられると、識別された受信者に通知が送信されます。
      3. [受信者] から受信者を 1 人または複数選択します。
      4. [特定ユーザー] または [特定グループ] を選択すると、ユーザーまたはグループを選択するように求められます。
      5. その他のフィールド、または受信者を使用してさらに通知を定義するには、次の一連の通知設定で、ここまでの手順を繰り返します。
      6. 通知を削除するには、通知の右にある [通知記号を削除] アイコンをクリックします。
    3. [アサイン] タブをクリックし、フィールドに入力します。
      表 : 2. [構成] 画面 - [アサイン] タブ
      フィールド 説明
      要求に対する割り当て方法 セキュリティインシデントを割り当てる方法を選択します。
      • 自動割り当ての使用:セキュリティインシデントが自動的に割り当てられます。
      • ワークフローを使用:セキュリティインシデントは、選択したワークフローによって割り当てられます。
      • 手動:セキュリティインシデントは手動で割り当てられます。
      このワークフローを使用して、要求をアサインします セキュリティインシデントをディスパッチするワークフローを選択します。このフィールドは、[要求に対する割り当て方法] リストから [ワークフローを使用] を選択した場合に表示されます。
      タスクの割り当てメソッド 応答タスクを割り当てる方法を次から選択します。
      • 自動割り当ての使用:応答タスクは自動的に割り当てられます。
      • ワークフローを使用:応答タスクは、選択したワークフローによって割り当てられます。
      • 手動:応答タスクは手動で割り当てられます。
      タスクの割り当てにこのワークフローを使用 応答タスクを割り当てるワークフローを選択します。このフィールドは、[タスクの割り当てメソッド] リストから [ワークフローを使用] を選択した場合に表示されます。
      アサイン先グループのカバー範囲に基づく要求またはタスクの割り当て このオプションを有効にすると、セキュリティインシデントと応答タスクのアサイン先を、タスクの場所に対応できるグループに制限できます。
      スケジューリング
      エージェントの自動選択にタスクのタイムゾーンを考慮 (Auto-selection of agents consider time zone for tasks) タスクの割り当てにエージェントのタイムゾーンを考慮する場合は、このオプションを有効にします。このフィールドは、セキュリティインシデントまたは応答タスクに対して自動割り当てが選択されている場合に表示されます。
      追加のファクター
      エージェントの自動選択にエージェントの場所を考慮 (Auto-selection of agents consider location of agents) このオプションを有効にすると、タスクをアサインするときに、タスクの場所に近いエージェントが優先されます。このフィールドは、セキュリティインシデントまたは応答タスクに対して自動割り当てが選択されている場合に表示されます。
      タスクごとのエージェント自動選択ではそのスキルを有するエージェントのみを選択 自動割り当ての決定時にエージェントのスキルがどの程度タスクに適合している必要があるかを選択します。
      • タスクを割り当てるエージェントに、タスクを実行するすべてのスキルを求める場合は、[すべて] を選択します。スキルが 1 つでも不足すると、そのエージェントは除外されます。
      • タスクを実行するスキルの大部分をエージェントに求める場合は、[一部] を選択します。
      • スキルを考慮せずエージェントを自動割り当てする場合は、[なし] を選択します。このフィールドは、セキュリティインシデントまたは応答タスクに対して自動割り当てが選択されている場合に表示されます。
      自動選択で要求内のすべてのタスクに同じエージェントのアサインを試行 (Auto-selection attempt to assign the same agent to all tasks in a request) あるセキュリティインシデントのすべての応答タスクのを同じエージェントに自動割り当てするには、このオプションを有効にします。
    4. [アドオン] タブをクリックし、フィールドに入力します。
      表 : 3. [構成] 画面 - [アドオン] タブ
      フィールド 説明
      ドキュメント
      専用ナレッジベースの有効化 セキュリティインシデントレスポンス のナレッジベースをアクティブにするには、このオプションを有効にします。
      ドキュメント管理の有効化 ドキュメント管理に関連リストを追加するには、このオプションを有効にします。
      タスクアクティビティの有効化 電話やメールメッセージなど、タスクのインタラクションと通信をログに記録するには、このオプションを有効にします。
    5. [保存] をクリックします。

    セキュリティアドミニストレーターのロックダウン

    調査を保護し、セキュリティインシデントを非公開にするために、セキュリティインシデントレスポンス のアクセスをセキュリティ固有のロールと ACL に制限することができます。明示的に許可しない限り、セキュリティアドミニストレーター以外のユーザーによるアクセスを制限できます。

    始める前に

    セキュリティインシデントレスポンス アプリケーションがアクティブになると、システムアドミニストレーターユーザーにはデフォルトで sn_si.admin ロールが付与されます。システムアドミニストレーターは、セキュリティグループとユーザーを設定できる唯一のアドミンです。

    セキュリティインシデントレスポンス の機能とレコードにアクセスするには、セキュリティロールが必要です。

    必要なロール:sn_si.admin

    手順

    1. セキュリティインシデントレスポンス プラグインがアクティブ化された後、admin ロールを持つユーザーが、スコープ指定アドミン (sn_si.admin) ロールを少なくとも 1 人のユーザーにアサインします。
    2. admin ロールを持つユーザーがセキュリティインシデントスコープに変更されます。
    3. 次のように移動する。 All (すべて) > sys_store_app.list.
    4. [スコープ] フィールドに「sn_si」と入力します。
      システムアプリケーション。
    5. [セキュリティインシデントレスポンス] をクリックします。
    6. [関連リンク] まで下にスクロールし、[アドミニストレーターが付与したロールから削除] をクリックします。
    7. ログアウトして、再度ログインします。
      アドミンユーザーは セキュリティインシデントレスポンス アプリケーションにアクセスできません。

    制限付き発信者アクセスの管理

    アドミニストレーターは、制限付き発信者アクセス (RCA) 機能を使用して、アプリケーションまたはアプリケーションリソースへのクロススコープアクセスを定義し、アクセス要求を許可または拒否できます。 セキュリティインシデントレスポンス ではこの機能がデフォルトで有効になっているため、セキュリティアナリストは機密性の高いセキュリティ関連情報を保護できます。

    セキュリティインシデントレスポンス のすべてのテーブルとスクリプトインクルードに [発信者アクセス (Caller access)] と呼ばれるフィールドが追加されています。このフィールドは、デフォルトで [発信者追跡 (Caller Tracking)] に設定されます。この設定は、アプリケーションスコープが セキュリティインシデントレスポンス テーブルおよびスクリプトインクルードにアクセスできることを意味します。ただし、レコードごとにトラッキングレコードが作成され、制限付き発信者アクセス権限 [sys_restricted_caller_access] テーブルに格納されます。
    注:
    [発信者追跡 (Caller Tracking)] から [発信者制限 (Caller Restricted] にレコードを変更する場合は注意してください。アドミニストレーターが手動でアクセスを許可するまで、このステータスのレコードにアクセスすることはできません。アドミニストレーターは、次の場所に移動する必要があります システムアプリケーション > アプリケーションの制限付き発信者アクセスで、アクセスが要求されたテーブルまたはスクリプトインクルードを見つけて、[ ステータス ] フィールドを [要求済み ] から [許可] に変更します。

    セキュリティインシデントレスポンス のクイックスタートテストの実行

    アップグレードの適用やアプリケーションの開発などの構成変更を行った後も、セキュリティインシデントレスポンス が変わらず正常に動作するかを検証します。自分のインスタンスに固有のデータを使用するときは、それが成功するように、これらのクイックスタートテストをコピーしてカスタマイズします。

    セキュリティインシデントレスポンス クイックスタートテストではセキュリティインシデントレスポンスプラグイン (com.snc.security_incident) をアクティブ化して、デモデータをロードする必要があります。

    表 : 4. セキュリティインシデントレスポンス テスト
    テスト 説明 リリースバージョン
    SIR:セキュリティインシデントの作成 ユーザーがセキュリティインシデントフォームからセキュリティインシデントを正常に作成できるかどうかを判断します。 Yokohama
    SIR:セキュリティインシデントカタログからセキュリティインシデントを作成する ユーザーがカタログからセキュリティインシデントを正常に作成できるかどうかを判断します。 Yokohama
    SIR:セキュリティインシデントライフサイクル ポリシー違反ワークフローの対応タスクを検証します。 Yokohama
    SIR:脅威のルックアップ 脅威のルックアップ機能を検証します。 Yokohama
    SIR:PIR アセスメント OOTB 構成 このテストを使用して、PIR アセスメントとベースシステム構成を検証します。 Yokohama
    SIR:PIR アセスメントの条件付き構成

    インシデントの事後アセスメントを完了せずに、必須の条件付きルールに一致するセキュリティインシデントがクローズされていないことを確認します。

    インシデントの事後アセスメントを完了せずに、オプションの条件付きルールに一致するセキュリティインシデントがクローズされていないことを確認します。

    ルールに一致しないセキュリティインシデントに対してアセスメントが生成されていないことを確認します。

    		 Yokohama
    SIR:PIR 実行時間検証 新しい設計に従って PIR レポートが構成され、セキュリティインシデントに添付されていることを検証します。 Yokohama
    SIR:PIR デザイン時間セットアップ検証 アドミニストレーターの構成に基づいて、セキュリティインシデントがレポートテンプレートにマップされていることを検証します。 Yokohama
    SIR:セキュリティインシデントを既存の重大なセキュリティインシデントにリンク セキュリティインシデントを既存の重大なセキュリティインシデントにリンクし、重大なセキュリティインシデントにロールアップされたセキュリティインシデントからのデータを検証します。 Yokohama
    SIR:セキュリティインシデントを重大なセキュリティインシデントとして昇格 セキュリティインシデントを重大なセキュリティインシデントとして昇格し、重大なセキュリティインシデントにロールアップされたセキュリティインシデントのデータを検証します。 Yokohama
    SIR:重大なセキュリティインシデントとしてセキュリティインシデントを提案 セキュリティインシデントを重大なセキュリティインシデントとして提案し、重大なセキュリティインシデントにロールアップされたセキュリティインシデントからのデータを検証します。 Yokohama
    [制限の適用] がオンになっていると、許可されたメンバーのみがセキュリティインシデントにアクセスできることを確認します。 [制限の適用] が有効になると、許可されたメンバーのみがセキュリティインシデントにアクセスできることを確認します。 Yokohama
    [制限の適用] がオンになっていると、許可されたグループのみがセキュリティインシデントにアクセスできることを確認します。 [制限の適用] が有効になると、許可されたグループのみがセキュリティインシデントにアクセスできることを確認します。 Yokohama
    読み取りアクセスを検証する 表示アクセスを検証します。 Yokohama
    書き込みアクセスを検証する 編集アクセスを検証します。 Yokohama
    SIR ワークスペース:読み取りアクセス 読み取りアクセスユーザーが、ワークスペースでもセキュリティロールがなくてもセキュリティインシデントを表示できることを確認する Yokohama
    SIR ワークスペース:書き込みアクセス 書き込みアクセスユーザーがセキュリティロールなしでセキュリティインシデントを更新できることを確認する Yokohama
    SIR ワークスペース:新規セキュリティインシデントの作成 ワークスペースから新しいセキュリティインシデントを作成 Yokohama
    SIR ワークスペース:対応タスクの作成 既存のセキュリティインシデントから新しい応答タスクを作成する Yokohama