サポートされているプレイブック🔗
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
注意
各プレイブックには、新しいプレイブックを作成する手順を案内する組み込みのドキュメントがあります。XDRのケーステンプレートまたは設定済みケースからドキュメントを選択すると、新しいタブでこれが開き、そこで案内に従うことができます。
XDR は、以下を含む多数のインテグレーションをサポートしています(これらに限定されません)。
ヒント
最新のプレイブックテンプレート、アクション、コネクターの公開履歴や、既存のテンプレートおよびコネクターの更新情報については、自動化の概要をご覧ください。
| プレイブックタイトル | 説明 |
|---|---|
| 4me ITSM Alert | XDRアラートに基づいて4meのProblemまたはRequestを作成します |
| 4me ITSM Investigation | XDRインベスティゲーションに基づいて4meのProblemまたはRequestを作成します |
| 4me ITSM Investigation Sync | 4meのProblemまたはRequestをSecurity Responseインベスティゲーションと同期します |
| AD Change Password At Log On | LDAP(S)プロトコルを使用してADユーザーの「ログオン時にパスワード変更」を実行します |
| AD Deactivate Change Password At Log On | LDAP(S)プロトコルを使用してADユーザーの「ログオン時にパスワード変更」を無効化します |
| AD Disable User | LDAP(S)プロトコルを使用してADユーザーアカウントを無効化します |
| AD Enable User | LDAP(S)プロトコルを使用してADユーザーアカウントを有効化します |
| AD/LDAP Change Password | LDAP(S)プロトコルを使用してAD/LDAPユーザーのパスワードを変更します |
| AD/LDAP Look Up User | LDAP(S)プロトコルを使用してAD/LDAPユーザーを検索します |
| Alert Email Notification | アラートのメール通知を送信します |
| Alert Email Notification with Google Gmail | Google Gmail APIを使用してアラートのメール通知を送信します |
| Alert ITSM Sync | ServiceNowアラートをITSMインシデントと同期します |
| Alert SIR Sync | ServiceNowアラートをSecurity Incidentと同期します |
| Amazon Web Services Disable User Access Keys | Amazon Web Servicesのユーザーアクセスキーを無効化します |
| Amazon Web Services Disable User Login | 特定のAWSユーザーのコンソールログインを無効化します |
| Amazon Web Services Disable User MFA Devices | 特定のAWSユーザーのMFAデバイスを削除します |
| Amazon Web Services Enable User Access Keys | Amazon Web Servicesのユーザーアクセスキーを有効化します |
| Amazon Web Services Enable User Login | 特定のAWSユーザーのために事前定義されたパスワードで新しいログインプロファイルを作成します |
| Amazon Web Services Look Up User | Amazon Web Servicesユーザーを検索します |
| Amazon Web Services Update IP Set | AWS WAFでIPアドレスをブロック/ブロック解除します |
| Analyze Email | Emailエンティティのエンリッチメントを有効にします |
| Automated Action AD Change Password At Log On | アラートに関連するすべてのユーザーの「ログオン時にパスワード変更」をLDAP(S)プロトコルで自動的に実行します |
| Automated Action AD Disable User | アラートに含まれるすべてのユーザーをLDAP(S)プロトコルで自動的に無効化します |
| Automated Action Isolate Host Red Cloak Endpoint Agent | Automated Action Isolate Host Red Cloak Endpoint Agent |
| Automated Action Isolate Host Taegis Agent | Automated Action Isolate Host Taegis Agent |
| Automated Action Microsoft Entra ID Disable User | Microsoft Graph APIを使用してアラートに含まれるすべてのユーザーを自動的に無効化します |
| Automated Action Microsoft Entra ID Force Password Reset | Microsoft Graph APIを使用してアラートに含まれるすべてのユーザーのパスワードリセットを自動的に強制します |
| Azure OpenAI Enrich Investigation | Azure OpenAIを通じてインベスティゲーションの主な発見事項をエンリッチします |
| Block Domain | ドメインのブロック対応アクションを有効にします |
| Block Email Address | Emailアドレスのブロック対応アクションを有効にします |
| Block File Hash | ファイルハッシュのブロック対応アクションを有効にします |
| Block IP | IPアドレスのブロック対応アクションを有効にします |
| Block URL | URLのブロック対応アクションを有効にします |
| Carbon Black EDR - Block Filehash | Carbon Black EDR(Endpoint Detection and Response)でファイルハッシュをブロックします |
| Carbon Black EDR - Unblock Filehash | Carbon Black EDR(Endpoint Detection and Response)でファイルハッシュのブロックを解除します |
| CB Cloud - Isolate | VMWare Carbon Black Cloudで隔離します |
| CB Cloud - Undo Isolate Host | VMWare Carbon Black Cloudでホストの隔離を解除します |
| Change Password | パスワード変更の対応アクションを有効にします |
| Change Password At Next Login | 次回ログイン時のパスワード変更対応アクションを有効にします |
| Change Password At Next Login Google Workspace Admin SDK API | Google Workspace Admin SDK APIを使用してユーザーの次回ログイン時のパスワード変更を有効にします |
| Change Password Google Workspace Admin SDK API | Google Workspace Admin SDK APIを使用してユーザーのパスワードを変更します |
| Cisco Meraki Activities | Cisco Merakiでリソースのブロックおよびブロック解除を行います |
| Comments To Email Notification | TaegisインベスティゲーションのコメントをEmailで送信します |
| Comments To Mattermost Notification | TaegisインベスティゲーションのコメントをMattermostに送信します |
| Comments To Microsoft Teams Notification | TaegisインベスティゲーションのコメントをMicrosoft Teamsに送信します |
| Comments To Salesforce Slack Notification | TaegisインベスティゲーションのコメントをSalesforce Slackに送信します |
| Comments To ServiceNow WorkNote | TaegisインベスティゲーションのコメントをServiceNow WorkNoteに送信します |
| Confirm User As Compromised | ユーザーを侵害済みとして確定します |
| Cortex XSOAR Investigation Sync | XDRインベスティゲーションをCortex XSOARインシデントと同期します |
| Create Investigations from Alerts | アラートからXDRインベスティゲーションを作成します |
| Create ServiceNow User | ServiceNowユーザーを作成します |
| CrowdStrike Falcon Endpoint - Isolate | CrowdStrike Falcon Endpoint Protectionで隔離します |
| CrowdStrike Falcon Endpoint - Undo Isolate | CrowdStrike Falcon Endpoint Protectionでホストの隔離を解除します |
| Deactivate Change Password At Next Login Google Workspace Admin SDK API | Google Workspace Admin SDK APIを使用してユーザーの次回ログイン時のパスワード変更を無効化します |
| Deactivate ServiceNow User | ServiceNowユーザーを無効化します |
| Detonate URL | URLをデトネートし、結果をエンリッチメントとして提供します |
| Disable User | ユーザーの無効化対応アクションを有効にします |
| Dismiss User As Compromised | ユーザーの侵害済み判定を解除します |
| Enable User | ユーザーの有効化対応アクションを有効にします |
| Endpoint Tagging | 任意の数のエンドポイントにタグを追加/削除するためのプレイブックです |
| Endpoint Tagging - Multi | 異なる条件でエンドポイントタグ付けプレイブックを複数回実行できます |
| Enrich Investigation | インベスティゲーションのエンリッチメントを有効にします |
| Entity Enrichment Look Up Asset | 資産エンティティのエンリッチメントを有効にします |
| EverBridge Alert Incident | XDRアラートに基づいてEverBridgeインシデントを作成します |
| EverBridge Investigation Incident | XDRインベスティゲーションに基づいてEverBridgeインシデントを作成します |
| Freshdesk Investigation Sync | TaegisインベスティゲーションをFreshdeskインシデントと同期します |
| Freshservice Alert Ticket | Taegisアラートに基づいてFreshserviceチケットを作成します |
| Freshservice Investigation Sync | TaegisインベスティゲーションをFreshserviceチケットと同期します |
| Freshservice Investigation Ticket | Taegisインベスティゲーションに基づいてFreshserviceチケットを作成します |
| Generic Webhook | すべての入力をWebhook URLに送信します |
| Halo ITSM Investigation Synch | XDRインベスティゲーションをHalo ITSMインシデントと同期します |
| Health Event Investigation | 正常性イベントからTaegisインベスティゲーションを作成します |
| Initiate Antivirus Scan on Host | ホストでAntivirusスキャンを開始する対応アクションを有効にします |
| Investigation CrowdStrikeFalcon Incident Sync | インベスティゲーションをCrowdStrikeFalconインシデントと同期します |
| Investigation Email Notification | インベスティゲーションのメール通知を送信します |
| Investigation Email Notification with Google Gmail | Google Gmail APIを使用してインベスティゲーションのメール通知を送信します |
| Investigation ITSM Sync | ServiceNowインベスティゲーションをITSMインシデントに1方向同期します |
| Investigation Service Now MultiTeam Sync | インベスティゲーションをServiceNowの複数チームと同期します |
| Investigation SIR Sync | ServiceNowインベスティゲーションをSecurity Incident Responseと同期します |
| Investigation SMAX Sync | TaegisインベスティゲーションをMicrofocus SMAXチケットと同期します |
| Investigation Translate Comments | インベスティゲーションのコメントを他言語に翻訳します |
| Investigation Translate Key Findings | インベスティゲーションの主な発見事項を他言語に翻訳します |
| Investigations Email Report | Taegisインベスティゲーションに関するメールレポートを送信します |
| Isolate Host | ホストの隔離対応アクションを有効にします |
| Isolate Host Automated Action | ホストの隔離自動対応アクション |
| ITSM Incident Vulnerability | XDRの脆弱性に基づいてServiceNowインシデントを作成します |
| Jira Alert Issue | XDRアラートに基づいてAtlassian Jira課題を作成します |
| Jira Investigation Issue | XDRインベスティゲーションに基づいてAtlassian Jira課題を作成します |
| Jira Investigation Sync | Jira課題をSecurity Responseインベスティゲーションと同期します |
| Jira Vulnerability Issue | XDRの脆弱性に基づいてAtlassian Jira課題を作成します |
| JupiterOne Investigation AWS Instance Enrichment | JupiterOneからAWSインスタンスのコンテキストでインベスティゲーションをエンリッチします |
| Look Up Asset Vulnerabilities | 資産の脆弱性エンリッチメントを有効にします |
| Look Up File Hash | ファイルハッシュを検索し、結果をエンリッチメントとして提供します |
| Look Up User | ユーザーエンティティのエンリッチメントを有効にします |
| Look Up User Google Workspace Admin SDK API | Google Workspace Admin SDK APIを使用してユーザーを検索します |
| ManageEngine ServiceDesk Plus Alert | XDRアラートからManageEngine Service Desk PlusでRequestを作成するためのプレイブックです |
| ManageEngine ServiceDesk Plus Investigation Sync | インベスティゲーションをManageEngine Service Desk PlusのRequestと同期するためのプレイブックです |
| MD ATP - Block Filehash Globally | Microsoft Defender ATPでファイルハッシュを全体的にブロックします |
| MD ATP - Host Response Action | Microsoft Defenderホストに対して各種対応アクションを実行します |
| MD ATP - Isolate Host | Microsoft Defender ATPでホストを隔離します |
| MD ATP - Single Endpoint Filehash Block | Microsoft Defender ATPで単一エンドポイントのファイルハッシュをブロックします |
| MD ATP - Undo Isolate Host | Microsoft Defender ATPでホストの隔離を解除します |
| Microsoft Entra ID Disable User | Microsoft Graph APIを使用してMicrosoft Entra IDユーザーアカウントを無効化します |
| Microsoft Entra ID Enable User | Microsoft Graph APIを使用してMicrosoft Entra IDユーザーアカウントを有効化します |
| Microsoft Entra ID Force Password Reset | Microsoft Graph APIを使用してMicrosoft Entra IDユーザーアカウントのパスワードリセットを強制します |
| Microsoft Entra ID Look Up User | Microsoft Graph APIを使用してMicrosoft Entra IDユーザーを検索します |
| Microsoft Teams Notification | Webhook経由でMicrosoft Teams通知を送信します |
| Notifications via Google Workspace Chat | Google Workspace Chat WebhookにTaegis通知を送信します |
| Okta Look Up User | Oktaユーザーを検索します |
| OpenAI Enrich Investigation | OpenAIを通じてインベスティゲーションの主な発見事項をエンリッチします |
| Opsgenie XDR Alert | XDRアラートに基づいてAtlassian Opsgenieアラートまたはインシデントを作成します |
| Opsgenie XDR Investigation | XDRインベスティゲーションに基づいてAtlassian Opsgenieアラートまたはインシデントを作成します |
| PagerDuty Alert Event | XDRアラートに基づいてPagerDutyイベントを送信します |
| PagerDuty Investigation Event | XDRインベスティゲーションに基づいてPagerDutyイベントを送信します |
| PagerDuty Investigation Sync | PagerDutyインシデントをSecurity Responseインベスティゲーションと同期します |
| Palo Alto Networks PAN-OS Block/Unblock | Palo Alto Networks PAN-OSでIP/CIDRまたはドメインのブロック/ブロック解除を行います |
| RC - Isolate | Red Cloak Endpoint Agentで隔離します |
| RC - Undo Isolate Host | Red Cloak Endpoint Agentでホストの隔離を解除します |
| RC Disable Process Disruption | Red Cloak Endpoint Agentでプロセス妨害(ファイルハッシュブロック)ルールを無効化します |
| RC Process Disruption | Red Cloak Endpoint Agentでプロセス妨害(ファイルハッシュブロック)を実行します |
| Reactivate User Google Workspace Admin SDK API | Google Workspace Admin SDK APIを使用してユーザーを再有効化します |
| Reset MFA Factors | ユーザーのMFA要素リセット対応アクションを有効にします |
| Revoke User Sign-In Sessions | ユーザーのサインインセッション取り消し対応アクションを有効にします |
| Salesforce Slack Notification | Webhook経由でSalesforce Slack通知を送信します |
| SCADAfence Platform Investigation Enrichment | SCADAfenceのアラート/資産詳細でTaegisインベスティゲーションをエンリッチします |
| Send Notification Message | サポートされているメッセージングプラットフォームに通知メッセージを送信します |
| SentinelOne - Host Response Actions | SentinelOneエージェントに対して各種対応アクションを実行します |
| SentinelOne - Isolate | SentinelOneで隔離します |
| SentinelOne - Undo Isolate Host | SentinelOneでホストの隔離を解除します |
| SentinelOne Threat Mitigation Response Actions | Taegisアラートに対して脅威緩和対応アクションを実行します |
| ServiceNow Bidirectional Investigation Sync (Inbound) | ServiceNowから提供されたデータに基づきTaegisインベスティゲーションを更新します |
| ServiceNow Bidirectional Investigation Sync (Outbound) | Import Setsを利用してインベスティゲーションをServiceNowと同期します |
| Suspend User Google Workspace Admin SDK API | Google Workspace Admin SDK APIを使用してユーザーを一時停止します |
| Sync Alert | サードパーティアラートをXDRと同期します |
| Taegis Agent - Isolate | Taegis Agentで隔離します |
| Taegis Agent - Restore | Taegis Agentの隔離を解除します |
| Taegis NDR Block | Taegis NDRデバイスで特定のIPアドレスをブロック(shun)します |
| Taegis NDR Firewall Modification | Taegis NDRのファイアウォール関連アクションを実行します |
| Taegis NDR Unblock | Taegis NDRデバイスで特定のIPアドレスのブロック(unshun)を解除します |
| UnBlock Domain | ドメインのブロック解除対応アクションを有効にします |
| UnBlock Email Address | Emailアドレスのブロック解除対応アクションを有効にします |
| UnBlock File Hash | ファイルハッシュのブロック解除対応アクションを有効にします |
| UnBlock IP | IPアドレスのブロック解除対応アクションを有効にします |
| UnBlock URL | URLのブロック解除対応アクションを有効にします |
| UnIsolate Host | ホストの隔離解除対応アクションを有効にします |
| Update Investigation with Network Flow Summary | インベスティゲーションをネットワークフローサマリーで更新します |
| Update ServiceNow User | ServiceNowユーザーの汎用更新 |
| Update Taegis Investigation | 既存のTaegisインベスティゲーションを更新できるようにします |
| xMatters Webhook Alert | Webhook経由でアラートからxMattersイベントをトリガーします |
| xMatters Webhook Investigation | Webhook経由でインベスティゲーションからxMattersイベントをトリガーします |
| Zendesk Investigation Sync | XDRインベスティゲーションをZendeskインシデントと同期します |