デバイスでセキュリティインシデントが発生した場合、パッケージプレイブックを作成することで、応答時間を最小限に抑えることができます。パッケージプレイブックを使用すると、検出ルールセットで設定した Context Analysis Engine(CAE)ルールがイベントによってトリガーされた場合に、refract パッケージの実行を自動化できます。
パッケージプレイブックは、Python の refract パッケージのみをサポートしています。管理コンソールで使用できる事前定義済みの refract パッケージを使用することも、独自のカスタム refract パッケージを追加することもできます。パッケージプレイブックの内容はデバイスに保存されるため、デバイスがオフラインの場合でも実行できます。パッケージプレイブックは 100 件まで作成できます。
- Create a detection rule set。
- 必要に応じて、検出ルールがトリガーされたときにデバイスで実行できる Python refract パッケージを作成します。カスタムパッケージの作成の詳細については、「KB 42221254280219」を参照してください。
- 独自のパッケージを作成する場合は、パッケージを管理コンソールにアップロードする必要があります。コンソールで、[CylanceOPTICS] > [設定] > [パッケージ]を選択し、[ファイルをアップロード]をクリックします。
- 管理コンソールのメニューバーで、[Focus] > [設定]をクリックし、[プレイブック]タブをクリックします。
- [プレイブックを作成]をクリックします。
既存のパッケージプレイブックのクローンを作成する場合、目的のプレイブックのリストに必要なプレイブックを指定し、
をクリックします。
- 名前と説明を入力します。
- [コレクションタイプ]ドロップダウンリストで、パッケージが収集するデータを保存する場所をクリックします。
- [ローカル]は、デバイス上の指定されたパスにデータを保存します。
- [SFTP]、[SMB]、または[S3]を選択した場合は、必要な情報を指定します。
- [次へ]をクリックします。
- [パッケージ]ドロップダウンリストで、パッケージプレイブックに含めるパッケージをクリックします。必要に応じて、オプションのコマンドライン引数を指定します。
- 別のパッケージを追加する場合には、[別のパッケージを追加]をクリックします。1 件のパッケージプレイブックには最大で 20 のパッケージを追加できます。
- [保存]をクリックします。
メニューバーで、[Focus] > [設定] > [ルールセット]をクリックします。検出ルールセットを編集し、パッケージプレイブックを目的のルールに割り当てます。[確認]をクリックします。それぞれの検出ルールには、最大 10 件のパッケージプレイブックを関連付けることができます。
