複数のインスタンスをサポートする

以下でサポートされています。

同じ環境内で同じ統合の複数のインスタンスを構成できます。この機能を使用すると、ハンドブックの作成と実行をより柔軟に制御できます。たとえば、2 つのサイトがあり、それぞれが個別の Active Directory を使用しているお客様向けのハンドブックを作成し、ハンドブックの各ステップに適切な統合インスタンスを選択できます。

この機能は、[レスポンス] > [統合の設定] で構成され、プレイブック ステップの各フィールドの [インスタンスを選択] と複数選択環境オプションでサポートされています。

統合オプションを表示する

[統合] ページには、次の 2 つの事前定義オプションが表示されます。

  • 共有インスタンス
  • デフォルトの環境

共有インスタンスは、すべての環境で使用できる構成済みの統合のライブラリとして機能します。

[共有インスタンス] セクションには、デフォルトで使用可能な事前定義済みの Google SecOps 統合が含まれています。

[設定] > [組織] > [環境] で作成した環境は、環境リストに表示されます。

環境の表示をフィルタリングしたり、空の環境を非表示にしたりできます。通常、エンタープライズのお客様はデフォルト環境を使用します。

統合インスタンスを追加して構成する

  1. 環境を追加します。[統合の設定] ページで、まず統合を構成する環境を選択または追加します。
  2. 新しいインスタンスを作成します。[追加] [新しいインスタンスを作成] をクリックします。
  3. リストから統合を選択し、その特定のインスタンスに必要なパラメータを入力します。注: プレイブックでインスタンスを使用する前に、インスタンスを構成する必要があります。
    • 同じ環境で同じ統合の 2 つ目のインスタンスを構成するには、このプロセスを繰り返します。
    • 後でインスタンスを編集または再構成するには、統合の横にある 設定アイコン インスタンスを構成をクリックします。

環境を選択

複数選択環境機能は、新しいハンドブックを作成するときに使用できます。[Playbooks] ページに移動して確認します。次のいずれかの操作を行います。
  • [すべての環境] を選択すると、システムで定義されているすべての環境でプレイブックが実行されます。
  • ハンドブックを実行する環境を 1 つ以上選択します。

複数の環境またはすべての環境を選択すると、プレイブックの手順で構成可能なインスタンス タイプが制限されます。以下で詳しく説明します。

プレイブックでインスタンスを使用する

統合を使用するハンドブックにステップを追加する場合、[インスタンスを構成] フィールドのオプションは次の条件によって異なります。

  • 作成したインスタンス
  • ハンドブックに選択した環境

単一環境

単一の環境を選択すると、[インスタンスを構成] フィールドで次のいずれかを選択できます。

  • 選択した環境でその特定のアクション用に構成したインスタンス。
  • 共有インスタンス統合(利用可能な場合)。

複数の環境またはすべての環境

複数の環境または [すべての環境] を選択すると、[インスタンスを構成] の最初のオプションは [動的モード] になります。

動的モード

動的モードでは、プレイブックがケースに添付されると、Google SecOps はケースに関連付けられた環境用に構成された統合インスタンスへのアクセスを試みます。

予備インスタンス

[フォールバック インスタンス] フィールドは省略可能です。[動的モード] が選択されていて、特定の環境にインスタンスが構成されていない場合は、共有インスタンスからフォールバック インスタンスを選択できます。このオプションは、すべての環境で実行されるハンドブックで使用できます。

適切なインスタンスが存在せず、フォールバックが構成されていない場合は、次のようになります。

  • アクションは失敗します(失敗した場合にスキップするように設定されている場合を除く)。
  • 失敗した場合にスキップを使用すると、特定のツールのライセンスをお客様が所有していない場合に手順をスキップしたいマネージド セキュリティ サービス プロバイダ(MSSP)にとって特に便利です。

ケース環境に複数のインスタンスが構成されている場合、フォールバック インスタンスは使用されません。その場合、ハンドブックは一時停止し、アナリストに適切なインスタンスを手動で選択するよう求めます。

ユースケース #1: デフォルト環境に 2 つのインスタンスがある

このシナリオでは、企業ネットワークが米国と英国の 2 つのサイトに分割されています。各サイトには個別の Active Directory 構成が必要です。これをサポートするには、同じ環境内に Active Directory 統合の 2 つのインスタンスを構成します。これにより、ハンドブックは実行時に適切なインスタンスを動的に選択できます。

インテグレーションをインストールする

  1. Google SecOps Marketplace > [インテグレーション] に移動します。
  2. 必要な統合を検索します。この例では、Active Directory を使用します。
  3. [インストール] をクリックして統合を追加します。

インスタンスを構成する

  1. [レスポンス > 統合の設定] に移動します。
  2. [環境] リストで、インスタンスを作成する環境を選択します。この例では、[デフォルトの環境] を使用します。
  3. [ 追加 ] 新しいインスタンスを作成をクリックします。
  4. [インスタンスを追加] ダイアログで、リストから必要な統合を選択し、[保存] をクリックします。この例では、[Active Directory] を選択します。
  5. 必要な統合に移動し、[ 設定 ] [インスタンスを構成] をクリックします。
  6. 関連する構成情報を入力します。この例では、米国サイトのユーザー向けにインスタンスを構成します。
  7. 完了したら [保存] をクリックします
  8. 省略可: [テスト] をクリックして、構成が機能することを確認します。
  9. Active Directory の別のインスタンスを追加します。この例では、英国サイトのユーザー向けに構成します。構成が完了したら、[保存] をクリックします。
  10. 必要に応じて後で変更できます。構成が完了すると、インスタンスはハンドブックで使用できるようになります。

ハンドブックでインスタンスを使用する

  1. [ハンドブック] に移動し、[ 追加 新しいハンドブックまたはブロックを追加] をクリックして、新しいハンドブックを作成します。
  2. 該当するフォルダを選択します。この例では、[デフォルトの環境] を選択します。
  3. [アクション] の [ActiveDirectory] で、[エンティティを拡充する] を選択します。
  4. アクションをステップにドラッグし、ダブルクリックして構成パネルを開きます。
  5. [Choose Instance](インスタンスを選択)フィールドで、プレイブックの対象に応じて適切なインスタンス(米国サイトまたは英国サイト)を選択します。 

ユースケース 2: 複数の環境での動的モード

このシナリオでは、MSSP として、それぞれが個別の環境で定義されている複数のお客様をサポートします。実行時に、ケースの発生元に基づいて使用する環境を動的に決定する必要があります。

環境を定義する

  1. [Settings] > [Organization] > [Environments] に移動します。
  2. [ 追加 ] [環境を追加] をクリックし、環境のパラメータを使用して必要な環境を定義します。
  3. 顧客ごとに新しい環境を複数作成します。

インテグレーションをインストールする

  1. Google SecOps Marketplace > [インテグレーション] に移動します。
  2. 必要な統合を検索します。この例では、VirusTotal を選択してインストールします。

インスタンスの構成

  1. [レスポンス] > [統合の設定] に移動し、各お客様を選択して [構成] をクリックします。
  2. 要件に応じて VirusTotal 統合インスタンスを設定します。

ハンドブックを設定する

VirusTotal Ping アクションを追加するときに、[動的モード] を選択します。これにより、Google SecOps はケースの発生元に基づいて実行時に環境を特定し、適切な統合インスタンスを適用します。

  1. [Playbooks] ページに移動します。
  2. 新しいハンドブックを作成します。以前に作成して構成した環境を選択してください。
  3. VirusTotal Ping アクションを追加するときに、[動的モード] を選択します。これにより、Google SecOps は実行時にケースの送信元環境を確認し、その特定のインスタンスを適用します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。