Respond

Respondは、検知した脅威の自動アクションと、管理者通知を設定する機能です。
ステラサイバーは検知した脅威にAutomation自動処理を定義することができます。脅威イベント情報をQueryで絞り込み、対象の脅威イベントにアクション実行する条件を設定することで自動的なアクションシナリオを設定することがでいます。さらに、アクションの種類としてEmail、Slack、などの通知だけに限らず、Webhookやユーザースクリプトの実行を設定するとで独自のアクションや外部連携を構築することも可能となっております。

Automation

ステラサイバー Collect Sensor Overview

Respond / Automation から開くことができます。

センサーの管理画面です。この画面では、認証やソフトウェアアップデートといったセンサーの管理を行うことができます。

自動アクションの作成画面です。

Alert Configuration アラートの基本設定です。以下の項目を設定します。
  • 自動アクションの名前
  • 実行間隔
  • テナント名
  • ルールタイプ
Query クエリにより対象のイベントを絞り込みます。
Condition Configuration アクションを実行する条件を設定します。クエリによりヒットしたイベントの数で条件を決めます。
Actions 実行するアクションの種類を選択します。現在、以下の種類のアクションを作成できます。
  • Email
  • Slack
  • Webhook
  • Firewall
  • アラートの作成
  • ユーザーの無効化
  • スクリプトの実行
メッセージ本文にイベントのフィールドを含めることができます。