この記事では、アラートが発生した際に自動的なアクションを定義できる

Automation Rulesについてご紹介します。この機能はCortex XDR 3.6でリリースされました。

Automation Rules

SOCチームはアラートが発生した時に行っている対応プロセスにおいて、

Automation Rulesを使用することで以下のようなユースケースを自動化し、

手動プロセスによる対応負荷を削減することができます。

コミュニケーション

メール・Slackへの通知、syslogサーバーへアラートを送ることができます。

アラートとインシデントの管理

インシデントに対する対応者の割り当て、アラートのSeverity, Statusの変更ができます。

例えば、ある業務アプリからアラートから発生するアラートのように、

既に誤検知・過検知だからステータスをFalse Positiveにして解決済みとしたい、

といった処理を自動化することができます。

エントポイントに対する対応

Cortex XDRエージェント導入端末に対して、ネットワークからの隔離、ファイルの収集、スクリプトの実行、マルウェアスキャンの実行ができます。

例えば、ある特定のアラートが発生した場合は、端末を隔離する、調査用のスクリプトを実行するといった処理を

自動的に行うことができます。

ルールは複数作成でき、定義された上から順に評価されます。

アラートのステータスをFalse positiveとしてResolvedにするケース

端末を隔離するケース

Automation Rulesの結果

ルールの実行結果は、Automation Rules Logから確認できます。

Tech Doc

Automation Rulesの詳細はこちら