ワークフロー

応答ワークフローを自動化することで、ネットワーク内のセキュリティインシデントを、侵害が発生する前に軽減できます。EventLog Analyzerを使用すると、セキュリティインシデントが検出された際に、USBポートの無効化、システムのシャットダウン、ファイアウォールルールの変更などのアクションを自動的に実行するワークフローを作成できます。

ワークフローの作成方法

1. [アラート]タブをクリックします。
2. 画面右上の[その他のツール]（歯車）アイコンをクリックします。
3. [ワークフロー]をクリックして[ワークフローを管理]画面を開き、[+ワークフローを作成]をクリックします。
4. [ワークフロー名]にワークフローの名前を入力します。
5. [ワークフロー名]の横にある[詳細情報]をクリックして、ワークフローの説明を入力します。
6. ワークフローブロックを左ペインから中央のスペースにドラッグ＆ドロップして、ワークフローを作成します。インフラストラクチャでイベントを実行するために、ワークフローブロックが論理的に配置されていることを確認してください。
   EventLog Analyzerには、必要なアクションを実行するために役立つワークフローブロックが複数用意されています。ワークフローブロックは、様々なセクションに分類されています。

ワークフローブロックのリストとワークフローを設定する際に指定する内容は、以下のとおりです。

ワークフローブロック	指定する内容
ロジック
条件分岐 前のアクションのステータスに基づいてワークフローを分岐できます。
アクションの遅延を実行 ワークフローの実行に時間遅延を導入できます。	遅延時間（分単位）
ネットワークのアクション
デバイスへpingを実行 ネットワーク内のデバイスにpingを実行して、接続を確認できます。	pingするデバイスの名前 送信するエコー要求メッセージの数 送信するパケットのサイズ アクションのタイムアウト 指定された時間内にアクションを再試行する回数
trace routeの実行 ネットワーク内のデバイスにtrace routeを実行して、パスを識別できます。	ルートをトレースするデバイスの名前 ホップの最大数 アクションのタイムアウト
プロセス
テストプロセス プロセスがデバイス上で実行されているかどうかをテストできます。	プロセスをテストするデバイスの名前 テストするプロセス プロセスを実行するためのExecutablePathとCommandLine
プロセスを開始 デバイス上のプロセスを開始できます。	プロセスを開始するデバイスの名前 プロセスの作業ディレクトリ プロセスを開始するコマンド
プロセスを停止 デバイス上のプロセスを停止できます。	プロセスを停止するデバイスの名前 停止するプロセス プロセスを実行するためのExecutablePathとCommandLine
サービス
サービスをテスト サービスがデバイス上で実行されているかどうかをテストできます。	サービスをテストするデバイスの名前 テストするサービス
サービスを開始 デバイス上のサービスを開始できます。	サービスを開始するデバイスの名前 開始するサービス
サービスを停止 デバイス上のサービスを停止できます。	サービスを停止するデバイスの名前 停止するサービス
Windowsのアクション
ログオフ デバイス上で現在アクティブなセッションからログオフできます。	ログオフするデバイスの名前 アクションを強制するかどうかを選択します。
システムをシャットダウン Windowsデバイスをシャットダウンできます。	シャットダウンするデバイスの名前 アクションを強制するかどうかを選択します。
システムを再起動 Windowsデバイスを再起動できます。	再起動するデバイスの名前 アクションを強制するかどうかを選択します。
Windowsスクリプトを実行 指定したスクリプトファイルをWindowsデバイス上で実行できます。	スクリプトファイルを実行するデバイスの名前 スクリプトファイルの種類 実行するスクリプトファイルをアップロードします。 必要に応じてスクリプトへの引数を指定します。コンマを使用して複数の引数を区切ることができます。 アクションのタイムアウト スクリプトの実行用の作業ディレクトリ
USBを無効にする デバイスのUSBポートを無効化できます。	USBポートを無効にするデバイスの名前
Linuxのアクション
Linuxをシャットダウン Linuxデバイスをシャットダウンできます。	シャットダウンするデバイスの名前 アクションを強制するかどうかを選択します。
Linuxを再起動 Linuxデバイスを再起動できます。	再起動するデバイスの名前 アクションを強制するかどうかを選択します。
Linuxスクリプトを実行 指定したスクリプトファイルをLinuxデバイス上で実行できます。	スクリプトファイルを実行するデバイスの名前 スクリプトファイルの種類 実行するスクリプトファイルをアップロードします。 必要に応じてスクリプトへの引数を指定します。コンマを使用して複数の引数を区切ることができます。 アクションのタイムアウト スクリプトの実行用の作業ディレクトリ
通知
ポップアップメッセージを送信 デバイスにポップアップメッセージを表示できます。	メッセージを表示するデバイスの名前 表示されるメッセージ
メールを送信 メールを送信できます。	受信者のメールアドレス メールの件名と本文
SMSの送信 SMSメッセージを送信できます。	受信者の携帯電話番号 SMSメッセージの内容
SNMPトラップを送信 指定した宛先にSNMPトラップを送信できます。	エンタープライズOID SNMPマネージャー メッセージの内容
Active Directory
ユーザーの無効化 ユーザーアカウントを無効化できます。	無効化するユーザーアカウントの名前
ユーザーの削除 ユーザーアカウントを削除できます。	削除するユーザーアカウントの名前
コンピューターの無効化 コンピューターアカウントを無効化できます。	無効化するコンピューターアカウントの名前
ファイアウォールアクション
Cisco ASA拒否インバウンドルール インバウンド通信の拒否ルールを追加できます。	ファイアウォールデバイスの名前 インターフェース名 送信元アドレス 宛先アドレス
Cisco ASA拒否アウトバウンドルール アウトバンド通信の拒否ルールを追加できます。	ファイアウォールデバイスの名前 インターフェース名 送信元アドレス 宛先アドレス
Fortigate拒否アクセスルール アクセス拒否ルールを追加できます。	ファイアウォールデバイスの名前 送信元アドレス 宛先アドレス 送信元インターフェイスの名前 宛先インターフェイスの名前
PaloAlto拒否アクセスルール アクセス拒否ルールを追加できます。	ファイアウォールデバイスの名前 送信元アドレス 宛先アドレス 送信元ゾーンの名前 宛先ゾーンの名前 ルールの種類（ユニバーサル、イントラゾーン、インターゾーン）
SophosXG拒否アクセスルール アクセス拒否ルールを追加できます。	ファイアウォールデバイスの名前 送信元アドレス 宛先アドレス
Barracuda拒否アクセスルール アクセス拒否ルールを追加できます。	ファイアウォールデバイスの名前 送信元アドレス 宛先アドレス 送信元インターフェイスの名前 宛先インターフェイスの名前 ルールの種類（インバウンド、アウトバウンド）
SophosXG更新拒否アクセスルール アクセス拒否ルールを更新できます。	ファイアウォールデバイスの名前 ルール名 送信元アドレス 宛先アドレス
その他
ファイルへの書き込み ファイルにメッセージを書き込むことができます。	ファイルが保存されているデバイスの名前 ファイル名 ファイルへの絶対パス ファイルに書き込むテキスト ファイルが既に存在する場合に、ファイルに追加するか上書きするかを選択します。
HTTP要求 URLにHTTPリクエストを送信できます。	HTTPリクエストを送信するURL 使用するメソッド（Get、Post）を指定します。 必要なヘッダーを追加します。 必要なパラメータを追加します。
CSVルックアップ CSVファイル内の値を検索できます。	[参照する]をクリックして、実行するCSVファイルをアップロードします。 ヘッダーまたは列番号を指定します。 照合するフィールドを選択します。
ログを転送 指定した宛先にログを転送できます。	宛先サーバーの名前 使用するプロトコル ポート番号とログ形式
ADManager Plus
ユーザーの無効化 ユーザーアカウントを無効化できます。	ブロックの名前 実行するアクション（ユーザーの無効化） ブロックの目的を記録するための簡単な説明 無効化するユーザーアカウントのユーザー名
ユーザーの削除 ユーザーアカウントを削除できます。	ブロックの名前 実行するアクション（ユーザーの削除） ブロックの目的を記録するための簡単な説明 削除するユーザーアカウントのユーザー名
コンピューターの無効化 コンピューターアカウントを無効化できます。	ブロックの名前 実行するアクション（コンピューターの無効化） ブロックの目的を記録するための簡単な説明 無効化するコンピューターアカウントのデバイス名
ユーザーパスワードをリセット ユーザーがパスワードをリセットできます。	ブロックの名前 実行するアクション（ユーザー パスワードのリセット） ブロックの目的を記録するための簡単な説明 パスワードをリセットするユーザーアカウントのユーザー名 必要なパスワードの種類：ランダムまたはカスタム
ユーザーをグループに追加 特定のグループにユーザーを追加できます。	ブロックの名前 実行するアクション（ユーザーをグループに追加） ブロックの目的を記録するための簡単な説明 グループに追加するユーザーアカウントのユーザー名 ユーザーを追加するグループの名前
グループからユーザーを削除 特定のグループからユーザーを削除できます。	ブロックの名前 実行するアクション（グループからユーザーを削除） ブロックの目的を記録するための簡単な説明 グループから削除するユーザーアカウントのユーザー名 ユーザーを削除するグループの名前、または利用可能なすべてのグループからユーザーを削除
ユーザーを有効化 無効になっているユーザーアカウントを有効化できます。	ブロックの名前 実行するアクション（ユーザーの有効化） ブロックの目的を記録するための簡単な説明 有効化するユーザーアカウントのユーザー名
ユーザーをロック解除 ロックされたユーザーアカウントのロックを解除できます。	ブロックの名前 実行するアクション（ユーザーのロック解除） ブロックの目的を記録するための簡単な説明 ロックを解除するユーザーアカウントのユーザー名
ユーザーを更新 ユーザーの属性を更新できます。	ブロックの名前 実行するアクション（ユーザーの更新） ブロックの目的を記録するための簡単な説明 更新するユーザーアカウントのユーザー名 更新する属性 更新する属性の値
コンピュータを有効化 コンピューターアカウントを有効化できます。	ブロックの名前 実行するアクション（コンピューターの無効化） ブロックの目的を記録するための簡単な説明 無効化するコンピューターアカウントのデバイス名
コンピュータを削除 コンピューターアカウントを削除できます。	ブロックの名前 実行するアクション（コンピューターの削除） ブロックの目的を記録するための簡単な説明 削除するコンピューターアカウントのデバイス名
Endpoint Central
パッチをインストールする 検出された脆弱性に対するパッチを特定のデバイスにインストールできます。	ブロックの名前 パッチをインストールする宛先デバイスの名前/IPアドレス デプロイメント設定の名前 デプロイメント設定の説明 脆弱性識別子はアラート基準から抽出されます。 適用するデプロイメントポリシー
パッチを承認 検出された脆弱性に対するパッチを承認できます。	ブロックの名前 脆弱性識別子はアラート基準から抽出されます。

注記：Endpoint Centralアクションを利用するには、ManageEngine Endpoint Centralのデータ強化を設定してください。

7. 各ワークフローブロックに簡単な説明を入力して、ワークフローの目的を記入できます。これにより、後でワークフローを理解し、編集しやすくなります。
8. [保存]をクリックしてワークフローを作成します。
   

既存のワークフローを編集するには、[ワークフローを管理]画面でワークフロー名の横にある[ワークフローを編集]（鉛筆）アイコンをクリックします。

ワークフローの管理

[アラート]タブに移動し、[その他のツール]（歯車）アイコンから[ワークフロー]をクリックすると、EventLog Analyzerで既存のワークフローを表示および編集できます。[ワークフローを管理]画面には、ワークフローのリスト、説明、各ワークフローに関連付けられているアラートプロファイルの数、および履歴が表示されます。それぞれのアイコンをクリックして、ワークフローの有効化または無効化、削除、編集、およびコピーを行うことができます。

ワークフロー資格情報の更新

EventLog Analyzerは、管理者権限を持つWindows、Linux、およびCiscoデバイスのワークフローを自動化できます。EventLog Analyzerでシームレスにワークフローを実行するために、これらのデバイスの資格情報を更新する必要があります。

Windowsデバイスのワークフローを自動化する方法

WindowsデバイスがEventLog Analyzerにすでに追加されている場合は、デバイスの資格情報またはデバイスのドメイン資格情報を使用してワークフローを実行できます。したがって、Windows デバイスの資格情報を手動で更新する必要はありません。

Linuxデバイスのワークフローを自動化する方法

以下の手順で、すべてのLinuxデバイスでワークフローを実行するための共通の資格情報を設定できます。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[Linuxデバイス]を選択します。
3. ユーザーネーム、パスワード、ポートを入力します。
4. [追加]をクリックします。
   

Ciscoデバイスのワークフローを自動化する方法

ワークフローを実行するには、こちらのドキュメントに記載されている手順で、CiscoファイアウォールでREST APIエージェントを設定する必要があります。（サポートされているCisco REST APIのバージョンは、こちらのページに記載されています。）

以下の手順で、すべてのCiscoデバイスでワークフローを実行するための共通の資格情報を設定できます。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[Ciscoホスト]を選択します。
3. ユーザーネームとパスワードを入力します。
4. [追加]をクリックします。
   

特定のCiscoデバイスで共通の資格情報が機能しない場合は、以下の手順でデバイスの資格情報を設定する必要があります。

1. [設定]タブ → [ログソースの構成] → [デバイスを管理] → [Syslogデバイス]タブに移動します。
2. ワークフローを実行するデバイスにマウスオーバーし、[編集]（鉛筆）アイコンをクリックします。
3. [ホストの編集]ポップアップ画面で、[詳細表示]をクリックします。
4. [REST APIの認証情報を設定]にチェックを入れます。
5. ユーザー名とパスワードを入力します。
6. [資格情報を確認する]をクリックしてREST API呼び出しをCiscoデバイスに送信し、資格情報が有効かどうかを確認します。
7. [編集]をクリックして、ワークフローを実行するための資格情報を保存します。
   

Fortigateデバイスのワークフローを自動化する方法

Fortigateデバイスでワークフローを実行するためのAPIトークンを生成するには、以下の手順で新しいREST API管理者を作成する必要があります。

ステップ1：管理者プロファイルを作成する

1. ダッシュボードの左側にリストされているセクションから[システム]に移動します。
2. [システム]セクション配下の[管理者プロファイル]をクリックします。
3. 新しい管理者プロファイルの作成を開始するには、[+新規作成]をクリックします。
4. 新しい管理者プロファイルウィンドウが開きます。
5. 管理者プロファイルに適切な名前を入力します。
6. さまざまな機能に対するアクセス制御権限を、「なし」、「読み取り」、「読み取り/書き込み」、または「カスタム」から選択します。
7. [ファイアウォール]オプション配下の[ポリシー]と[アドレス]の両方のオプションで「読み取り/書き込み」を選択します。
8. [OK]をクリックして新しい管理者プロファイルを作成します。

ステップ2：REST API管理者を作成し、APIキーを生成する

1. ダッシュボードの左側にリストされているセクションから[システム]に移動します。
2. [システム]セクション配下の[管理者]をクリックします。
3. [+新規作成]をクリックします。
4. [REST API管理者]を選択します。
5. 新しいREST API管理者ウィンドウが開きます。
6. REST API管理者プロファイルに適切なユーザー名を入力します。
7. ドロップダウンメニューからステップ1で作成した管理者プロファイルを選択します。
8. [OK]をクリックして、新しいREST API管理者を確認します。
9. このプロセスが完了すると、システムによって新しいAPIキーが自動的に生成され、それが1回だけ表示されます。
10. シャットダウンする前に、生成されたAPIキーをコピーします。

上記プロセスを実施後、以下の手順で、すべてのFortigateデバイスでワークフローを実行するための共通の資格情報を設定します。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[Fortigateデバイス]を選択します。
3. ユーザーネームとREST APIキーを入力します。
4. [追加]をクリックします。
   

PaloAltoデバイスのワークフローを自動化する方法

ワークフローを正常に実行するには、こちらのページに記載の手順で、APIアクセスを有効にする必要があります。XML APIでのユーザーに必要な権限は以下のとおりです。

• Configuration
• Operational Requests
• Commit

以下の手順で、すべてのPaloAltoデバイスでワークフローを実行するための共通の資格情報を設定できます。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[PaloAltoデバイス]を選択します。
3. ユーザーネームとパスワードを入力します。
4. [追加]をクリックします。
   

SophosXGデバイスのワークフローを自動化する方法

SophosXGデバイスでワークフローを実行するには、暗号化されたパスワードを設定する必要があります。暗号化されたパスワードは、以下の手順で生成できます。

ステップ1：管理者プロファイルを作成する

Sophosアプリケーションにログインし、オブジェクトとネットワークの読み取り/書き込み権限を持つ管理者プロファイルを作成します。

1. [プロファイル] → [デバイスのアクセス]に移動し、特定の権限を持つ管理者プロファイルを作成します。
2. [保存]をクリックします。
   

ステップ2：管理者を作成する

1. ユーザーを作成し、管理者プロファイルを追加します。
2. API管理者プロファイルを持つユーザーを追加すると、プロファイルに基づいて管理者の権限を制限できます。または、既存の管理者アカウントを使用することもできます。
3. [認証] → [ユーザー]に移動し、[追加]をクリックします。
4. [ユーザーの種類]を[管理者]に設定します。
5. 手順1で作成したAPI管理者プロファイルを選択します。
6. 特定の時間にアクセスを許可するには、[アクセス時間]を選択します。
7. 特定のIPアドレスからのアクセスのみを許可するには、[デバイスアクセスのログイン制限]のオプションを選択します。
8. [保存]をクリックします。
   

ステップ3：APIアクセスを許可する

API設定を有効化して、管理者のIPアドレスからのAPIアクセスを許可します。

1. [バックアップ & ファームウェア] → [API]に移動します。
2. [API設定]を選択します。
3. [許可されている IP アドレス]に、APIリクエストを送信するIPアドレスを入力し、追加アイコンをクリックします。
4. [適用]をクリックします。
   

ステップ4：暗号化されたパスワードを生成する

1. ファイアウォールの高度なシェルにログインします。
2. 以下のコマンドを実行します。 -aes-128-cbc-tool -k Th1s1Ss1mPlygR8API -t 1 -s <パスワード>-
3. パスワードをコピーして、API設定で使用します。

暗号化されたパスワードを生成した後、以下の手順で、すべてのSophosXGデバイスでワークフローを実行するための共通の資格情報を設定します。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[Sophos XGデバイス]を選択します。
3. ユーザーネームと暗号化パスワードを入力します。
4. [追加]をクリックします。
   

Barracuda CloudGenデバイスのワークフローを自動化する方法

Barracuda CloudGenデバイスでワークフローを実行するには、以下の手順でX-APIトークンを作成する必要があります。

ステップ1：HTTPS用のREST APIを有効にします。

ステップ2：REST API認証用の管理者プロファイルを作成します。

ステップ3：認証用のX-APIトークンを作成します。

プロセスが完了したら、以下の手順で、すべてのBarracuda CloudGenデバイスでワークフローを実行するための共通の資格情報を設定します。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[Barracuda Cloudgenデバイス]を選択します。
3. ユーザーネームとRESTアクセストークンを入力します。
4. [追加]をクリックします。
   

SNMPトラップのワークフローを自動化する方法

EventLog Analyzerを使用してすべてのSNMPトラップワークフローを自動化するために、以下の手順で共通の資格情報を設定できます。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[SNMPトラップ]を選択します。
3. SNMPの資格情報を入力します。
4. [追加/更新]をクリックします。設定した資格情報は、すべてのSNMPトラップワークフローの実行に使用されます。
   

ADManager Plusのワークフローを自動化する方法

ハイブリッドAD環境の管理、レポート化、自動化機能を備えたIGAソリューションである「ADManager Plus」のワークフローを正常に実行するためには、ADManager PlusとEventLog Analyzerを連携する必要があります。ワークフローに追加できるアクションのリストは、ワークフローブロックと呼ばれます。アクションには、以下が含まれます。

• ユーザーの有効化、無効化、更新、削除
• コンピューターの有効化、無効化、削除
• ユーザーのパスワードリセット
• グループへのユーザーの追加と削除

連携が完了した後にのみ、上記アクションが実行可能になります。

EventLog Analyzerで連携を設定して、ADManager Plus経由でアクションを実行できます。手順は以下のとおりです。

1. [ワークフローを管理]画面にある[ワークフローの資格情報]をクリックします。
2. 資格情報の種類として、[ADManager Plus]を選択します。
3. ホスト、プロトコル、ポート、認証トークンを入力します。
4. [追加]をクリックして、EventLog AnalyzerとADManager Plusを連携します。
   
5. ADManager Plusで[SOAR ワークフロー]が有効になっていないと、連携に失敗します。
   
6. 連携に成功すると、ユーザーはワークフローの設定を開始できます。
   
7. 連携に失敗すると、ユーザーはワークフローを設定できません。
   

ADManager PlusでEventLog Analyzerとの連携を設定

EventLog Analyzerからワークフローアクションを実行するには、ADManager Plus内でも連携を有効にする必要があります。連携の有効化手順は、以下のとおりです。

1. ADManager Plusで、[管理]タブに移動します。
2. [システム設定]配下の[統合]をクリックします。
3. [ログの転送]配下の[Log360]（Log360-EventLog Analyzer）を選択します。
   
4. [Log360 SIEM に AD 管理アクションの実行を許可する]にチェックを入れることで、[SOAR ワークフロー]を有効にします。
5. [接続テスト＆保存]をクリックします。
6. これにより、EventLog Analyzerからワークフローアクションを実行できるようになります。