インシデントワークフロー管理

アラートがトリガーされたときに応答ワークフローを自動化することで、ネットワーク内のセキュリティ インシデントを、侵害が発生する前に軽減できます。EventLog Analyzer を使用すると、セキュリティ インシデントが検出されたときに、USB ポートの無効化、システムのシャットダウン、ファイアウォール ルールの変更などのアクションを自動的に実行するワークフローを作成できます。

ワークフローを作成する手順

  1. EventLog Analyzer で、[アラート] タブをクリックします。
  2. ページの右上隅にある[その他のツール] アイコンをクリックします。
  3. [ワークフロー] をクリックして [ワークフローの管理] ページを開き、[+ワークフローの作成] ボタンをクリックします。
  4. [ワークフロー名]フィールドにワークフローの名前を入力します。
  5. [ワークフロー名] フィールドの横にある [説明]リンクをクリックして、ワークフローの適切な説明を入力します。
  6. ワークフロー ブロックを左ペインから提供されたスペースにドラッグ アンド ドロップして、ワークフローを作成します。インフラストラクチャでイベントを実行するために、これらのブロックが論理的に配置されていることを確認してください。

    EventLog Analyzer には、必要なアクションを実行するためのワークフローの構成に役立つ複数のワークフロー ブロックが含まれています。論理ブロックは、さまざまなセクションに分類されています。

    ワークフロー ブロックのリストと、それらを使用してワークフローを構成する際に指定する詳細を以下に示します。

    論理ブロック 指定する内容
    論理アクション
    決定

    前のアクションのステータスに基づいてワークフローを分岐できます。

    		  
    遅延

    ワークフローの実行に時間遅延を導入できます。

    		 分単位の時間遅延。
    ネットワークアクション
    Pingの実行

    ネットワーク内のデバイスに ping を実行して、接続を確認できます。
    • Ping されるデバイスの名前。
    • 送信されるエコー要求メッセージの数。
    • 送信するパケットのサイズ。
    • アクションのタイムアウト。
    • 指定された時間内のアクションの再試行回数。
    Trace Route

    ネットワーク内のデバイスへのトレース ルート機能を実行して、パスを識別できます。
    • ルートを追跡したいデバイスの名前。
    • ホップの最大数。
    • アクションのタイムアウト。
    プロセスアクション
    プロセスのテスト

    プロセスがデバイスで実行されているかどうかをテストできます。
    • プロセスをテストするデバイスの名前。
    • テストするプロセス。
    • プロセスを実行するための ExecutablePath と CommandLine。
    プロセスを開始

    デバイスでプロセスを開始できます
    • プロセスを開始するデバイスの名前。
    • プロセスの作業ディレクトリ。
    • プロセスを開始するコマンド。
    プロセスを停止

    デバイス上のプロセスを停止できます。
    • プロセスを停止するデバイスの名前。
    • 停止したいプロセス。
    • プロセスを実行するための ExecutablePath と CommandLine。
    サービスアクション
    サービスをテスト

    サービスがデバイスで実行されているかどうかをテストできます。
    • サービスをテストするデバイスの名前。
    • テストしたいサービス
    サービスを開始

    デバイスでサービスを開始できます。
    • サービスを開始したいデバイスの名前。
    • 開始するサービス。
    サービスを停止

    デバイス上のサービスを停止できます。
    • サービスを停止したいデバイスの名前。
    • 停止するサービス
    Windowsアクション
    ログオフ

    デバイスで現在アクティブなセッションからログオフできます。
    • ログオフするデバイスの名前。
    • このアクションを強制するかどうかを選択します。
    システムをシャットダウン

    Windows デバイスをシャットダウンできます。
    • シャットダウンするデバイスの名前。
    • このアクションを強制するかどうかを選択します。
    システムを再起動

    Windows デバイスを再起動できます。
    • 再起動するデバイスの名前。
    • このアクションを強制するかどうかを選択します。
    Windowsスクリプトを実行

    指定したスクリプト ファイルを Windows デバイスで実行できるようにします。
    • スクリプト ファイルを実行するデバイスの名前。
    • スクリプトファイルのタイプ。
    • 実行するスクリプトファイルをアップロードします。
    • スクリプトへの引数(ある場合)。コンマを使用して複数の引数を区切ることができます。
    • アクションのタイムアウト。
    • スクリプトの実行用の作業ディレクトリ。
    USBを無効にする

    デバイスの USB ポートを無効にすることができます。
    • USB ポートを無効にするデバイスの名前。
    Linuxアクション
    Linuxをシャットダウン

    Linux デバイスをシャットダウンできます。
    • シャットダウンするデバイスの名前。
    • このアクションを強制するかどうかを選択します。
    Linuxを再起動

    Linux デバイスを再起動できます。
    • 再起動するデバイスの名前。
    • このアクションを強制するかどうかを選択します。
    Linuxスクリプトを実行

    指定したスクリプト ファイルを Linux デバイスで実行できるようにします。
    • スクリプト ファイルを実行するデバイスの名前。
    • スクリプトファイルのタイプ。
    • 実行するスクリプトファイルをアップロードします。
    • スクリプトへの引数(ある場合)。コンマを使用して複数の引数を区切ることができます。
    • アクションのタイムアウト。
    • スクリプトの実行用の作業ディレクトリ。
    通知アクション
    ポップアップ メッセージを送信

    デバイスにポップアップ メッセージを表示できます。
    • メッセージを表示するデバイスの名前。
    • 表示されるメッセージ。
    メールを送る

    電子メール メッセージを送信できます。
    • 受信者のメールアドレス。
    • メールの件名と本文。
    SMSを送信

    SMS メッセージを送信できます。
    • 受信者の携帯電話番号。
    • SMSコンテンツ。
    SNMPトラップを送信

    必要な宛先に SNMP トラップを送信できます。
    • コミュニティ。
    • ポート番号。
    • エンタープライズ OID。
    • SNMP マネージャー。
    • メッセージ内容。
    • バージョン。
    Active Directoryアクション
    ユーザーを無効にする

    ユーザーのアカウントを無効にすることができます。

    		 無効にするユーザー アカウントの名前。
    ユーザーを削除

    ユーザー アカウントを削除できます。

    		 削除するユーザー アカウントの名前。
    コンピューターを無効にする

    コンピュータ アカウントを無効にすることができます。

    		 無効にするコンピューター アカウントの名前
    Cisco ASA アクション
    インバウンドルールを追加

    インバウンド ルールを追加できます。
    • ファイアウォール デバイスの名前。
    • インターフェイス名。
    • 送信元アドレス。
    • 宛先アドレス。
    アウトバウンドルールを追加

    アウトバウンド ルールを追加できます。
    • ファイアウォール デバイスの名前。
    • インターフェイス名。
    • 送信元アドレス。
    • 宛先アドレス。
    その他のアクション
    ファイルに書き込む

    ファイルにメッセージを書き込むことができます
    • ファイルが置かれているデバイスの名前。
    • ファイル名。
    • 絶対ファイルパス。
    • ファイルに書き込まれるテキスト。
    • ファイルが既に存在する場合、ファイルに追加するか上書きするかを選択します。
    CSVルックアップ

    CSV ファイル内の値を検索できます。
    • 「参照」をクリックして実行するCSVファイルをアップロードします。
    • ヘッダーまたは列番号を指定します。
    • 照合するフィールドを選択します。
    ログを転送

    ログを必要な宛先に転送できます。
    • 宛先サーバーの名前。
    • 使用するプロトコル。
    • ポート番号と規格。
    HTTP要求

    URL に HTTP リクエストを送信できます。
    • HTTP リクエストの送信先の URL。
    • 使用するメソッドを指定します (Get または Post)。
    • 必要なパラメータを追加します。
  7. 各論理ブロックの簡単な説明を入力して、ワークフローでの目的を記録できます。これにより、後でワークフローを理解し、編集しやすくなります。
  8. [保存] ボタンをクリックしてワークフローを作成します。

既存のワークフローを編集するには、ワークフローの管理ページでワークフロー名の横にある編集アイコンをクリックします。

ワークフローの管理

[アラート] タブに移動し、[その他のツール] アイコンから[ワークフロー] をクリックすると、EventLog Analyzer で既存のワークフローを表示および編集できます。[ワークフローの管理] ページには、ワークフローのリスト、その説明、各ワークフローに関連付けられているアラート プロファイルの数、およびそれらの履歴が表示されます。それぞれのアイコンをクリックして、ワークフローの有効化または無効化、削除、編集、およびコピーを行うことができます。

ワークフロー資格情報の更新

管理者権限を持つ Windows、Linux、および Cisco デバイスでワークフローを自動化できます。EventLog Analyzerでこれらのデバイスの資格情報を更新する必要があります

ワークフローのシームレスな実行のためのアナライザー。

Windows デバイスでワークフローを自動化するには:

Windows デバイスが EventLog Analyzer にすでに追加されている場合は、デバイスの資格情報またはデバイスのドメイン資格情報を使用してワークフローを実行できます。したがって、Windows デバイスの資格情報を手動で更新する必要はありません。

Linux デバイスでワークフローを自動化するには

以下の手順に従って、すべての Linux デバイスでワークフローを実行するための一連の共通資格情報を構成できます。

  • [ワークフローの管理] ページにある [ワークフロー資格情報]リンクをクリックします。
  • Linux デバイス用に提供されている [編集] リンクをクリックします。
  • ユーザー名、パスワード、ポート番号を入力します。
  • [更新]をクリックして、これらの資格情報を保存および使用し、すべての Linux デバイスでワークフローを実行します。

Cisco デバイスでワークフローを自動化するには

このリンクに記載されている手順に従って、ワークフローを実行するように Cisco ファイアウォールで REST API エージェントを構成する必要があります。(Cisco REST API でサポートされているバージョンはここにリストされています)。

以下の手順に従って、EventLog Analyzer を使用してすべての Cisco デバイスでワークフローを実行するための一連の共通資格情報を設定できます。

  • [ワークフローの管理] ページにある [ワークフロー資格情報]リンクをクリックします。
  • Cisco デバイス用に提供されている [編集] リンクをクリックします。
  • ユーザー名とパスワードを入力します。
  • [更新]をクリックして、これらの資格情報を保存および使用し、すべての Cisco デバイスでワークフローを実行します。

特定の Cisco デバイスで共通の資格情報が機能しない場合は、以下の手順に従って、それらのデバイスの資格情報を設定する必要があります。

  • 設定 → 構成 → デバイスの管理 → Syslog デバイス に移動します。
  • ワークフローを実行するデバイスの近くにマウス ポインターを置き、編集アイコンをクリックします。
  • [デバイスの更新] ポップアップ メニューで、[詳細] をクリックします。
  • [REST API 資格情報の構成] チェック ボックスをオンにします。
  • ユーザー名とパスワードを入力します。
  • [資格の確認] をクリックして REST API 呼び出しを Cisco デバイスに送信し、資格情報が有効かどうかを確認します。
  • [更新]をクリックして、ワークフローを実行するために指定された資格情報を保存および使用します。