複数のインスタンスをサポートする

以下でサポートされています。

同じ環境内で、同じインテグレーションの複数のインスタンスを構成できます。この機能により、ハンドブックの作成と実行をより柔軟に制御できます。たとえば、2 つのサイトを持つお客様向けのハンドブックを作成し、各サイトで別々の Active Directory を使用して、ハンドブックのステップごとに適切なインテグレーションインスタンスを選択できます。

この機能は [**レスポンス**] > [**インテグレーションの設定**] で構成され、ハンドブックのステップの [**インスタンスを選択**] フィールドと複数選択環境オプションでサポートされています。

インテグレーション オプションを表示する

[インテグレーション] ページには、次の 2 つの事前定義されたオプションが表示されます。

  • 共有インスタンス
  • デフォルトの環境

共有インスタンス は、すべての環境で使用できる構成済みインテグレーションのライブラリとして機能します。

[共有インスタンス] セクションには、デフォルトで使用できる事前定義済みの Google SecOps インテグレーションが含まれています。

[設定] > [組織] > [環境] で作成した環境は、環境リストに表示されます。

環境の表示をフィルタしたり、 空の環境を非表示にしたりできます。通常、エンタープライズのお客様は デフォルトの環境を使用します。

インテグレーション インスタンスを追加して構成する

  1. 環境を追加します。[インテグレーションの設定] ページで、最初にインテグレーションを構成する環境を選択または追加します。
  2. 新しいインスタンスを作成します。[add] [新しいインスタンスを作成] をクリックします。
  3. リストからインテグレーションを選択し、その特定のインスタンスに必要なパラメータを入力します。注: ハンドブックで使用する前に、インスタンスを構成する必要があります。
    • 同じ環境で同じインテグレーションの 2 つ目のインスタンスを構成するには、このプロセスを繰り返します。
    • 後でインスタンスを編集または再構成するには、インテグレーションの横にある [settings] [インスタンスを構成] をクリックします。

環境を選択する

複数選択環境機能は、新しいハンドブックを作成するときに使用できます。確認するには、[ハンドブック] ページに移動します。 次のいずれかを行います。
  • [すべての環境] を選択して、システムで定義されているすべての 環境でハンドブックを実行します。
  • ハンドブックを実行する 1 つ以上の環境を選択します。

複数の環境またはすべての環境を選択すると、ハンドブックのステップで構成可能なインスタンス タイプが制限されます。詳細については、以下をご覧ください。

ハンドブックでインスタンスを使用する

インテグレーションを使用するハンドブックにステップを追加する場合、[インスタンスを構成] フィールドのオプションは次の条件によって異なります。

  • 作成したインスタンス
  • ハンドブック用に選択した環境

単一環境

単一の環境を選択した場合、[インスタンスを構成] フィールドで次のいずれかを選択できます。

  • 選択した環境で特定の操作用に構成したインスタンス。
  • 共有インスタンス インテグレーション(使用可能な場合)。

複数の環境またはすべての環境

複数の環境(または [すべての環境])を選択した場合、[インスタンスを構成] の最初のオプションは [動的モード] です。

動的モード

動的モードとは、ハンドブックがケースにアタッチされると、Google SecOps がケースに関連付けられた環境用に構成されたインテグレーション インスタンスにアクセスしようとすることを意味します。

予備インスタンス

[予備インスタンス] フィールドは省略可能です。[動的モード] が選択されていて、特定の環境にインスタンスが構成されていない場合は、共有インスタンスから予備インスタンスを選択できます。このオプションは、すべての環境で実行されるハンドブックで使用できます。

適切なインスタンスが存在せず、予備インスタンスが構成されていない場合は、次のようになります。

  • 失敗した場合にスキップするように設定されていない限り、アクションは失敗します。
  • [失敗した場合にスキップ] を使用すると、特定のツールのライセンスをお持ちでないお客様の場合にステップをスキップできるため、マネージド セキュリティ サービス プロバイダ(MSSP)にとって特に便利です。

ケース環境に複数のインスタンスが構成されている場合、予備インスタンスは使用されません。その場合、ハンドブックは一時停止し、アナリストに適切なインスタンスを手動で選択するよう求めます。

ユースケース 1: デフォルトの環境に 2 つのインスタンスがある

このシナリオでは、エンタープライズ ネットワークが 2 つのサイト(米国と英国)に分割されています。 各サイトには、個別の Active Directory 構成が必要です。これをサポートするには、 同じ環境内に Active Directory インテグレーションのインスタンスを 2 つ構成します。 これにより、ハンドブックは実行時に適切なインスタンスを動的に選択できます。

インテグレーションをインストールする

  1. [Content Hub]> [Response Integrations] に移動します。
  2. 必要なインテグレーションを検索します。この例では、 Active Directory を使用します。
  3. [インストール] をクリックしてインテグレーションを追加します。

インスタンスを構成する

  1. [**レスポンス**]> [**インテグレーションの設定**] に移動します。
  2. [**環境**] リストで、インスタンスを作成する環境を選択します。この例では、Default Environment. を使用します。
  3. [add] [Create a new instance] をクリックします。
  4. [インスタンスを追加] ダイアログで、リストから必要なインテグレーションを選択し、[保存] をクリックします。この例では、Active Directory を選択します。
  5. 必要なインテグレーションに移動し、 [settings] [インスタンスを構成] をクリックします。
  6. 関連する構成情報を入力します。 この例では、米国サイトのユーザーのインスタンスを構成します。
  7. 完了したら [保存] をクリックします
  8. 省略可: [テスト] をクリックして、構成が機能することを確認します。
  9. Active Directory の別のインスタンスを追加します。この例では、 英国サイトのユーザー向けに構成します。構成が完了したら [保存] をクリックします。
  10. 必要に応じて後で変更できます。構成が完了すると、インスタンスをハンドブックで使用できるようになります。

ハンドブックでインスタンスを使用する

  1. [ハンドブック] に移動し、 [add] [新しいハンドブックまたはブロックを追加] をクリックして新しいハンドブックを作成します。
  2. 関連するフォルダを選択します。この例では、[デフォルトの環境] を選択します。
  3. [Actions] の [ActiveDirectory] で、[エンティティを強化] を選択します。
  4. アクションをステップにドラッグし、ダブルクリックして構成パネルを開きます。
  5. [インスタンスを選択] フィールドで、ハンドブックのターゲットに応じて、適切なインスタンス(米国サイトまたは英国サイト)を選択します。 

ユースケース 2: 複数の環境での動的モード

このシナリオでは、MSSP として、それぞれ別の環境で定義されている複数のお客様をサポートします。実行時に、ハンドブックはケースの発生元に基づいて使用する環境を動的に決定する必要があります。

環境を定義する

  1. [設定] > [組織] > [環境] に移動します。
  2. [add] [Add Environment] をクリックし、環境の パラメータを使用して必要な環境を定義します。
  3. お客様ごとに新しい環境をいくつか作成します。

インテグレーションをインストールする

  1. [Content Hub]> [Response Integrations] に移動します。
  2. 必要なインテグレーションを検索します。この例では、VirusTotal を選択してインストールします。 VirusTotal。

インスタンスの構成

  1. [**レスポンス**] > [**インテグレーションの設定**] に移動し、各お客様を選択して [**構成**] をクリックします。
  2. 要件に応じて VirusTotal インテグレーション インスタンスを設定します。

ハンドブックを設定する

VirusTotal Ping アクションを追加するときに、[動的モード] を選択します。 これにより、Google SecOps はケースの発生元に基づいて実行時に環境を特定し、適切なインテグレーション インスタンスを適用します。

  1. [ハンドブック] ページに移動します。
  2. 新しいハンドブックを作成し、事前に作成して構成した環境を選択します。
  3. VirusTotal Ping アクションを追加するときに、[動的モード] を選択します。これにより、Google SecOps は実行時にケースの発生元の環境を確認し、その特定のインスタンスを適用します。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。