ナビゲーションをスキップする

イベントに対応するパッケージプレイブックの作成

デバイスでセキュリティインシデントが発生した場合、パッケージプレイブックを作成することで、応答時間を最小限に抑えることができます。パッケージプレイブックを使用すると、検出ルールセットで設定した Context Analysis Engine(CAE)ルールがイベントによってトリガーされた場合に、refract パッケージの実行を自動化できます。
パッケージプレイブックは、
Python
の refract パッケージのみをサポートしています。管理コンソールで使用できる事前定義済みの refract パッケージを使用することも、独自のカスタム refract パッケージを追加することもできます。パッケージプレイブックの内容はデバイスに保存されるため、デバイスがオフラインの場合でも実行できます。パッケージプレイブックは 100 件まで作成できます。
  • 必要に応じて、検出ルールがトリガーされたときにデバイスで実行できる
    Python
    refract パッケージを作成します。カスタムパッケージの作成の詳細については、「KB 66563」を参照してください。
  • 独自のパッケージを作成する場合は、パッケージを管理コンソールにアップロードする必要があります。コンソールで、
    [CylanceOPTICS] > [設定] > [パッケージ]
    を選択し、
    [ファイルをアップロード]
    をクリックします。
  1. 管理コンソールのメニューバーで、
    [CylanceOPTICS] > [設定]
    をクリックし、
    [プレイブック]
    タブをクリックします。
  2. [プレイブックを作成]
    をクリックします。
    既存のパッケージプレイブックのクローンを作成する場合、目的のプレイブックのリストに必要なプレイブックを指定し、クローンアイコン をクリックします。
  3. 名前と説明を入力します。
  4. [コレクションタイプ]
    ドロップダウンリストで、パッケージが収集するデータを保存する場所をクリックします。
    • [ローカル]
      は、デバイス上の指定されたパスにデータを保存します。
    • [SFTP]
      [SMB]
      、または
      [S3]
      を選択した場合は、必要な情報を指定します。
  5. [次へ]
    をクリックします。
  6. [パッケージ]
    ドロップダウンリストで、パッケージプレイブックに含めるパッケージをクリックします。必要に応じて、オプションのコマンドライン引数を指定します。
  7. 別のパッケージを追加する場合には、
    [別のパッケージを追加]
    をクリックします。1 件のパッケージプレイブックには最大で 20 のパッケージを追加できます。
  8. [保存]
    をクリックします。
メニューバーで、
[CylanceOPTICS] > [設定] > [ルールセット]
をクリックします。検出ルールセットを編集し、パッケージプレイブックを目的のルールに割り当てます。
[確認]
をクリックします。それぞれの検出ルールには、最大 10 件のパッケージプレイブックを関連付けることができます。