コンテンツにスキップ

プレイブックの概要🔗

自動化において、プレイブックは、1つ以上の設定済み接続を使用して、どのアクションをいつ実行するかを定義します。これにより、お客様の設定に基づいて、お客様の環境でアクションを自動的に実行できます。プレイブックはプレイブックテンプレートを通じて定義されており、一部はSecureworksによって提供され、また一部はお客様の組織によって定義される場合があります。

完了したプレイブックの例

注意

各プレイブックには、新しいプレイブックを作成する手順を案内する組み込みのドキュメントがあります。XDRのケーステンプレートまたは設定済みケースからドキュメントを選択すると、新しいタブでこれが開き、そこで案内に従うことができます。

プレイブックを構成する要素🔗

プレイブックはいくつかの基本的なコンポーネントで構成されています。

  • 必須接続
  • プレイブックの実行
  • 入力

プレイブックは、XDR プラットフォーム、ユーザー(アクションとして)、または手動でトリガーできます。

重要

プレイブックでは、プレイブックテンプレートでサポートされているオプションのみ設定できます。サポートされていないオプションはグレー表示され、設定できません。

必須接続🔗

一般的なプレイブックテンプレートには1つ以上のタスクが含まれており、それぞれがコネクターアクションを呼び出します。そのため、ほとんどのプレイブックテンプレートでは、そのアクションを実行するコネクターへの接続が必要です。プレイブックテンプレートを作成または設定する際は、テンプレートで必要な各コネクターに対して1つの接続を選択する必要があります。

注意

コネクターおよび接続にはバージョン管理がされています。選択した接続のバージョンは、テンプレートで必要なコネクターのバージョンと一致している必要があります。

プレイブックの実行🔗

プレイブック自体は、実行されるまで価値を提供しません。XDR 内でプレイブックの実行を定義し、どのようにプレイブックが開始されるかを決定します。

実行タイプ🔗

現在、XDR でサポートされている実行タイプは3つあります。

  • プラットフォーム — XDR 内で発生するイベントに基づいてプレイブックを実行
  • ユーザー主導 — XDR 内でユーザーがアクションとしてプレイブックを実行
  • Generic — プレイブックを手動、スケジュール、または通知のために実行

プラットフォーム: ソース🔗

プラットフォーム実行には、XDR 内でプレイブックが入力として受け取るデータのコンテキストを定義するソースが必要です。

プラットフォーム: イベント🔗

プラットフォームの開始には、プレイブックを実行するイベントをエンドユーザーが定義する必要があります。これらのイベントには createupdatedelete が含まれます。このイベントは上記で定義したソース内で適用されます。たとえば、alert2 ソースと create イベントを持つプラットフォームトリガーは、検出が作成されたときにプレイブックを実行します。

ユーザー主導: カテゴリ🔗

カテゴリは、ユーザー主導の実行タイプを定義します。カテゴリは、ユーザー主導アクションが XDR 内のどこに表示されるかを定義するために使用されます。現在サポートされている値は Response ActionLookup Contextual Information の2つです。

ユーザー主導: コンテキスト🔗

アクションが利用可能なコンテキストを選択します。これにより、プレイブックへの期待される入力が定義されます。

ユーザー主導: 名前🔗

ユーザー主導の実行における Name フィールドでは、エンドユーザーが XDR のメニュー内でアクションの名前を定義できます。

実行フィルター🔗

注意

検出の実行は現在、高および重大の重大度に限定されています。

このプレイブックはいつ実行されますか? セクションでは、エンドユーザーがプレイブックを実行するため(プラットフォームタイプの場合)、またはアクションを表示するため(ユーザー主導タイプの場合)に満たす必要があるカスタム条件を定義できます。このフィールドは、トリガーに選択されたソースで定義された入力だけでなく、Common Expression Language(CEL)もサポートします。プレイブックが手動で実行される場合、このフィールドは評価されません。

ヒント

CELヘルパーは、該当する場合に表示され、自動化設定で使用できる一般的なCEL式を提供します。

CELヘルパー

また、CEL Explorerを使用して、特定の種類の入力に対してCEL式をテストし、設定を完了する際に式の結果を確認することもできます。詳細については、CEL Explorerをご覧ください。

Generic: プレイブックスケジュール🔗

実行タイプとして Generic を選択し、使用方法として Playbook Schedule を選択することで、設定したプレイブックの実行を自動的にスケジューリングできます。すべてのプレイブックテンプレートがスケジュール実行をサポートしているわけではありません。詳細は プレイブックスケジューリング を参照してください。

入力🔗

テンプレートによっては、プレイブックを希望通りに実行するために1つ以上の入力が必要な場合があります。各テンプレートには、必要な入力についてより詳細に説明するドキュメントが含まれています。

プレイブック概要の表示🔗

プレイブックの概要を表示するには:

  1. Taegis Menu から 自動化 > プレイブック を選択します。

  2. プレイブックの概要が表示されます。

プレイブック概要の上部にあるサマリーカードには、以下の件数が表示されます。

  • 合計 — 選択した期間中のプレイブック実行の合計件数
  • 完了 — 選択した期間中に正常に完了したプレイブック実行の件数
  • 開始済み — 選択した期間中に開始状態となっているプレイブック実行の件数
  • 失敗 — 選択した期間中に失敗したプレイブック実行の件数
  • キャンセル済み — 選択した期間中にキャンセルされたプレイブック実行の件数

日付/時刻ピッカーを使用して表示期間を変更できます。

プレイブックサマリーカード