この記事では、潜在的な脅威を抑えるためにXOpsストーリーへの自動対応を作成する方法について説明します。
XOpsストーリーへの自動対応を使用すると、ストーリーが特定の基準を満たした場合にトリガーされる緩和アクションを定義できます。 これにより、脅威が検出されるとすぐに抑えることができ、対応時間を減らし、セキュリティポリシーとネットワークトラフィックポリシーを一貫して実施することができます。
対応ポリシーで設定されたルールの中で自動対応を定義できます。 手動による対応に頼る代わりに、各ルールはストーリーの属性(たとえばセベリティ、ユーザーの関与、または表示)を評価し、設定されたアクションを自動的にトリガーします。
過度な施行を防ぐために、自動アクションは特定のユーザーに30分に一度適用されます。 この30分の間に、追加のマッチングストーリーが同じユーザーに対してアクションを繰り返してトリガーされることはありません。 これにより、不要な混乱を避けながら、実際の脅威に対する効果的な対応が保証されます。
サポートされているアクションは以下の通りです:
- ユーザーセッションの取り消し: これはユーザーをログアウトさせ、クライアントのログイン画面で再認証を求め、正当なユーザーのみが再びアクセスを取得できるようにします。 詳細については、XOpsストーリーにおける脅威の緩和を参照してください。
企業ABCは大量のXOpsストーリーに直面しており、最も重要な脅威に直ちに対処することが難しいです。 露出度を減らし一貫した緩和を施行するために、最高リスク指標を持つストーリーを自動的に処理する対応ポリシールールを設定します。
彼らは、重大度の高いストーリーを特定するルールを作成し、ユーザーのセッションを取り消す自動アクションを設定します。 自動アクションが安全に使用されることを確保するために、管理者は表示によってフィルターを追加し、このポリシーに対してフィッシング関連のストーリータイプのみを選択します。 これにより、セキュリティの有効性と適切な施行のバランスをとり、実際に必要とするユーザーのみがブロックされることを保証します。
基準に一致するストーリーに含まれるユーザーは、自動的に再認証が必要となります。 このアプローチにより、重大な脅威が即座に注目され、セキュリティポスチャーの一貫性が向上し、アナリストが緊急の緩和タスクではなく調査に集中できるようになります。
自動対応は対応ポリシー内で設定されます。
自動対応を作成するには:
- 対応ポリシールールを作成します。 詳細については、XOpsストーリーのための対応ポリシーの作成を参照してください。
- 対応セクションで、アクションの下からルールに適用する自動アクションを選択します。 通知を選択することもできます。
- 保存をクリックしてください。 ルールがポリシーに追加されます。
もしストーリーが自動応答ルールに一致した場合、アクションが自動的に実行され、ストーリーのタイムラインが更新されます。 アクションはアクションセンターにも表示されます。
ホーム > 検知 & 対応ポリシーページのアクションセンタータブでは、アカウント内で実施されたXOps緩和アクションをレビューできます。
アクションセンターは、各緩和アクションに対して以下の情報を表示します:
- 時間 - 緩和アクションが送信された時点のタイムスタンプ
- アクション - 緩和アクションの説明
- 対象 - アクションが実行されたユーザー
-
ステータス - アクションのステータス。 対象をブラックリストに追加アクションに対するステータス値は次の通りです:
- 成功 - セッションの取り消しリクエストがCatoユーザーサービスに送信されました
- 失敗 - セッションの取り消しリクエストに問題がありました
- 作成者 - アクションを実行した管理者
- トリガー - アクションが送信されたストーリーのストーリーID。 ストーリーの概要ページを開くにはクリックしてください
- 注意 - 自動アクションにはメモは追加されません
0件のコメント
記事コメントは受け付けていません。