ビュー:

エビデンス収集プレイブックを作成して、脅威の調査とインシデント対応をサポートするエビデンスを収集します。

ネットワーク上で発生し、さらに注意が必要な可能性がある重大なインシデントを内部調査するために、侵害された可能性のあるエンドポイントから詳細なエビデンスを収集します。
重要
重要
  • エビデンスを収集するには、対象のエンドポイントでXDRエンドポイントセンサーを有効にする必要があります。
  • エビデンスアーカイブは、SANS InstitutesおよびCyLRツールと同じフォルダ構造を使用します。

手順

  1. [Workflow and Automation][Security Playbooks] に移動。
  2. [Playbook] タブで、[追加][テンプレートから作成]
  3. [インシデント対応エビデンス収集] を選択し、 [テンプレートからPlaybookを作成]をクリックします。
  4. Playbookを設定し、 Applyをクリックします。
    注意
    注意
    Playbookには一意の名前を指定する必要があります。
  5. トリガーノードの名前をカスタマイズするには、編集アイコン (edit=6bab3fa2-ec74-4134-97fb-784f64900103.png) をクリックします。
  6. エンドポイント名またはIPアドレスで、エビデンス収集の対象となるエンドポイントを識別します。
    • [エンドポイント名]を使用してエンドポイントからエビデンスを収集するには、 [エンドポイント名] テキストボックスにエンドポイント名を指定します。
    • [IPアドレス]を使用してエンドポイントからエビデンスを収集するには、 [IPアドレス] テキストボックスにIPアドレスまたはIP範囲を指定します。
      最大10個のIP範囲を使用できます。 IP範囲の例を次に示します。
      • 10.1.0.*
      • 192.168.1.0/24
      • 192.168.1.10–192.168.1.20
      CIDR表記では、プレフィックスの長さの範囲は16~32です。開始IP~終了IP形式を使用する場合、最初の2つのオクテット (ネットワーク部分を表す) は、範囲内のすべてのIPアドレスで同じである必要があります。
  7. 最初のアクションノード(初期設定名: [手動承認について受信者に通知])。
    1. (オプション) ノードのカスタム Name を指定します。
    2. 対応処理を作成するための手動承認を要求する通知を送信するかどうかを選択します。
      重要
      重要
      24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。
    3. 手動承認が必要な場合は、次の設定を行います。
      設定
      説明
      通知方法
      • Email: 指定した受信者にメール通知を送信します。
      • Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      Webhook接続を追加するには、ドロップダウンリストで[チャネルを作成]をクリックします。
  8. 次のアクションノード(デフォルト名: 証拠を収集) で証拠収集を構成します。
    設定
    説明
    名前
    ノード名
    エビデンスの種類
    収集するエビデンスの種類
    注意
    注意
    [基本情報] は必須です。
    エンドポイントのアーカイブ場所
    ローカルエンドポイント上のアーカイブの場所
    重要
    重要
    • ローカルアーカイブは暗号化されておらず、削除されるまでエンドポイントに残ります。これにより、ファイルシステムへのアクセス権を持つすべての人物が機密情報にアクセスできるようになったり、進行中の調査の存在が明らかになったりする可能性があります。
    • エビデンスのアーカイブはハードドライブの容量を占有し、エンドポイントのパフォーマンスに影響を与える可能性があります。
    Trend Vision Oneへのエビデンスのアップロード
    Trend Vision One コンソールのフォレンジックアプリにエビデンスをアップロードします。
    重要
    重要
    Playbookでは、収集したエビデンスを Trend Vision One コンソールのForensicsアプリにアップロードするためのCreditsが必要です。エビデンスをアップロードするようにプレイブックを設定する前に、Forensicsでデータ許容量を設定します。
    データ許容量が設定されていない場合、 [Trend Vision Oneへのエビデンスのアップロード] を有効にして2023年10月13日より前に作成されたすべてのプレイブックで、エビデンスの収集、ローカルでの保存、またはフォレンジックアプリへのアップロードができなくなります。
    ヒント
    ヒント
    アップロードされたエビデンスは、 Security Playbooksアプリの [実行結果] ページで検索できます。
  9. 2 番目の パス選択ノード を構成して、Playbook の結果を受信者に通知する方法を指定します。
    注意
    注意
    結果を通知するパスは1つだけ選択できます。
  10. メールおよびWebhook通知の場合、アクションノード(デフォルト名: 結果の通知を送信) を構成します。
    設定
    説明
    名前
    ノード名
    通知方法
    • Email: 指定した受信者にメール通知を送信します。
    • Webhook: 指定したWebhookチャネルに通知を送信します。
    件名のプレフィックス
    通知の件名の先頭に表示されるプレフィックス
    受信者
    受信者のメールアドレス
    メール通知方法を選択した場合にのみ表示されます。
    Webhook
    通知を受信するWebhookチャネル
    このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
    ヒント
    ヒント
    Webhook接続を追加する必要がある場合は、ドロップダウンリストで[チャネルを作成]をクリックしてください。
  11. ServiceNowチケット通知の場合は、2つのアクションノードを設定します。
    1. 手順7に従って、最初のアクションノード(デフォルト名: 手動承認の通知受信者) を構成します。
    2. 次のアクションノードを構成します (デフォルト名: 結果のチケット通知を送信)。
      設定
      説明
      名前
      ノード名
      通知方法
      アクションノードは Ticket 通知のみを送信できます
      チケットプロファイル
      使用するServiceNowチケットプロファイル
      ヒント
      ヒント
      必要な場合チケットプロファイルの追加をクリックし、ドロップダウンリストの Create ticket profile をクリックします。
      チケットプロファイル設定
      Playbookのチケットプロファイル設定
      チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。
      • Assignment group: チケットを割り当てるServiceNow割り当てグループ
      • Assigned to: チケットを割り当てるServiceNowユーザ
      • Short description: ServiceNowに表示されるチケットの簡単な説明
  12. Enable コントロールをオンにして、Playbookを有効にします。
  13. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。
関連情報