[Cortex XDR]アラート発生後の対応を自動化する - Automation Rules

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
L4 Transporter
評価なし

この記事では、アラートが発生した際に自動的なアクションを定義できる

Automation Rulesについてご紹介します。この機能はCortex XDR 3.6でリリースされました。

 

Automation Rules

SOCチームはアラートが発生した時に行っている対応プロセスにおいて、

Automation Rulesを使用することで以下のようなユースケースを自動化し、

手動プロセスによる対応負荷を削減することができます。

 

 

コミュニケーション

メール・Slackへの通知、syslogサーバーへアラートを送ることができます。

 

 

 

アラートとインシデントの管理

インシデントに対する対応者の割り当て、アラートのSeverity, Statusの変更ができます。

例えば、ある業務アプリからアラートから発生するアラートのように、

既に誤検知・過検知だからステータスをFalse Positiveにして解決済みとしたい、

といった処理を自動化することができます。

 

 

 

エントポイントに対する対応

Cortex XDRエージェント導入端末に対して、ネットワークからの隔離、ファイルの収集、スクリプトの実行、マルウェアスキャンの実行ができます。

例えば、ある特定のアラートが発生した場合は、端末を隔離する、調査用のスクリプトを実行するといった処理を

自動的に行うことができます。

 

 

 

 

 

ルールは複数作成でき、定義された上から順に評価されます。

massaito_0-1680595643885.png

 

 

アラートのステータスをFalse positiveとしてResolvedにするケース

massaito_1-1680595686525.png

 

 

端末を隔離するケース

massaito_2-1680595719851.png

 

 

Automation Rulesの結果

ルールの実行結果は、Automation Rules Logから確認できます。

massaito_3-1680596000629.png

 

 

Tech Doc

Automation Rulesの詳細はこちら

この記事を評価:
  • 1639 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎06-06-2023 04:17 AM
更新者: