Security Orchestration, Automation and Response ( SOAR ) は、ユーザーがプレイブックの入力パラメーターと出力パラメーターを定義し、基本的なプレイブックのワークフローを構築するのに役立つ基本的なシステムコンポーネントを提供します。
開始 / 終了
各プロセスには、開始ノードと終了ノードが必要です。開始ノードは 1 つだけですが、終了ノードは複数持つことができます。
開始ノードは、デフォルトのノード名として event を使用します。したがって、プレイブックのオーケストレーション中にコンポーネント名を event に設定しないでください。
開始ノードのパラメーターは次のとおりです。
入力パラメーター: プレイブックをトリガーするための条件を構成します。異なる条件を選択すると、テスト中に [入力パラメーターウィザード] がそれに応じて変化します。
出力パラメーター: プレイブックの実行後に返されるフィールドを定義します。これらのフィールドは後続のノードで使用でき、setOutput 操作 を介して参照する他のプレイブックにも提供できます。
開始ノードの出力パラメーターを取得するための構文は、${event.parameter パス} です。
カスタム出力パラメーターに加えて、開始ノードはデフォルトのシステムパラメーターも提供します。詳細については、「プレイブックのシステムパラメーター ( 開始ノードのデフォルトパラメーター )」をご参照ください。
出力ゲートウェイ
ゲートウェイは、プロセスの実行ブランチとフローを制御します。プロセスは次の図のようになります。
ゲートウェイ | 実行ロジック | 使用上の注意 |
デフォルト出力ゲートウェイ | 1 つのノードから複数のブランチを出力し、すべてのブランチで操作を実行します。 | コンポーネントを選択する必要はありません。ノードを接続することで構成を完了できます。 説明 条件構成はサポートされていません。 |
単一出力 ( 排他的ゲートウェイ ) | プロセスに複数のブランチがある場合、条件を満たす最初のブランチの操作が実行され、1 つのブランチのみが実行されます。 | 単一出力コンポーネントを選択し、関連する条件構成を行う必要があります。 説明 カスタム条件以外の状況のために、デフォルトの ELSE 条件が用意されています。 |
複数出力 ( 包括的ゲートウェイ ) | プロセスに複数のブランチがある場合、条件を満たすすべてのブランチが実行されます。 | 複数出力コンポーネントを選択し、関連する条件構成を行う必要があります。 |
デフォルト出力ゲートウェイ
構成手順
ノードをクリックし、線を使用して現在のコンポーネントノードを下流のブランチノードに直接接続します。条件構成はサポートされていません。
単一出力 ( 排他的ゲートウェイ )
構成手順
基本ノードエリアで、[排他ゲートウェイ] コンポーネントをフローエディターキャンバスにドラッグします。
[排他ゲートウェイ] コンポーネントをクリックします。右側の [ 基本情報 ] タブで、[構成] をクリックして条件構成ページに入ります。構成後、[OK] をクリックしてブランチ選択の条件を保存します。
シナリオに基づいて、[IF を追加] または [ELSE IF を追加] をクリックして条件セットを追加します。各条件セットは 1 つのフローブランチに対応します。条件構成手順については、「コンポーネント条件構成手順」をご参照ください。条件名を変更して、条件の内容をより理解しやすく、区別しやすくすることができます。
ゲートウェイ接続ラインを構成します。
排他ゲートウェイアイコンにポインターを置き、接続ポイントをクリックしてブランチノードに接続します。
接続ラインをクリックし、右側の構成ページのドロップダウンリストから 手順 2 で構成した条件を選択します。
重要カスタム条件以外の状況のために、デフォルトの ELSE 条件が用意されています。
異なるラインには異なる条件を選択してください。
複数出力 ( 包括的ゲートウェイ )
構成手順
基本ノードエリアで、[包括的ゲートウェイ] コンポーネントをフローエディターキャンバスにドラッグします。
[包括的ゲートウェイ] コンポーネントをクリックします。右側の [ 基本情報 ] タブで、[構成] ボタンをクリックして条件構成ページに入ります。構成後、[OK] をクリックしてブランチ選択の条件を保存します。
シナリオに基づいて、[IF を追加] をクリックして条件セットを追加します。各条件セットは、複数のフローブランチに対応できます。条件構成手順については、「コンポーネント条件構成手順」をご参照ください。条件名を変更して、条件の内容をより理解しやすく、区別しやすくすることができます。
ゲートウェイ接続ラインを構成します。
包括的ゲートウェイアイコンにポインターを置き、接続ポイントをクリックしてブランチノードに接続します。
接続ラインをクリックし、右側の構成ページのドロップダウンリストから 手順 2 で構成した条件を選択します。
説明異なるラインが同じ条件に対応できます。
入力ゲートウェイ
2 種類の入力ゲートウェイがサポートされています。ブランチが正常に実行される場合、両方のゲートウェイは同じように機能します。違いは、異常なブランチ実行の処理方法にあります。
ゲートウェイ | 実行ロジック | 使用上の注意 |
デフォルト入力ゲートウェイ | すべてのアップストリームブランチの実行が完了した後、実行を続けます。ブランチでエラーが報告されても、後続の実行は続行されます。 | コンポーネントを選択する必要はありません。ノード接続ラインを使用して構成を完了できます。 |
並列ゲートウェイ | すべてのアップストリームノードの実行が完了するのを待ってから、「必須」のすべてのアップストリームブランチが実行されたかどうかを判断します。結果が「はい」の場合、後続のノードがトリガーされます。そうでない場合、ノードの実行は失敗します。 |
|
デフォルト入力ゲートウェイ
構成手順
ノードをクリックし、現在のコンポーネントノードを下流のブランチノードに接続します。
並列ゲートウェイ
構成手順
基本ノードエリアで、[並列ゲートウェイ] コンポーネントをフローエディターキャンバスにドラッグします。
ゲートウェイ接続ラインを構成します。
ノードをクリックし、接続ラインを使用して現在のコンポーネントノードを [並列ゲートウェイ] コンポーネントに接続します。
接続ラインをクリックし、右側の構成ページのドロップダウンリストから 「必須」または「必須ではない」を選択します。
説明「必須」を選択した場合、現在のリンクノードを実行する必要があることを示します。そうでない場合、後続のノードはトリガーされません。
子フロー
通常のフローと同様に、子フローにも 開始ノードと終了ノードが必要です。子フローを使用すると、複雑なフローをグループに分割して表示を明確にすることができ、ループもサポートされます。
子フローと親フローは同じ 変数空間にあります。親フローのデータ ( 入力、アップストリームノードからの戻り値、変数を含む ) は子フローで使用でき、子フローの変数に対する変更は親フローの結果に反映されます。
子フロー外の後続のノードでは、子フロー内のノードの 最後の実行結果を取得できます。
子フローループ構成手順
Start Loop ボタンをクリックします。
Execution Mode を選択します。
Do-while: ループを最初に実行し、実行後に条件を確認します。
While-DO: 条件を最初に確認し、満たされている場合は実行します。
Maximum Loops を設定して、無限ループを防ぎます。
Loop-ending Condition を設定します。子フローの各反復で実行されるすべてのノードのパラメーターを判定条件として使用できます。パラメーター構成については、「コンポーネント条件構成手順」をご参照ください。
ループ終了ロジック
各ループの反復は、その反復の子フロー内の 実行中のすべてのノードが終了すると終了します。
例: 次のシナリオでは、「通知 2」ノードは実行を完了して終了ノードに到達しましたが、「遅延」ノードはまだ実行中です。現在の反復は、実行可能なすべてのノードが終了するまで待ってから、ループの次の反復を開始します。
デフォルトループパラメーター
子フローは、子フロー内のコンポーネントが使用できる現在のループ数を取得するデフォルトパラメーターを提供します。
ループ数: 1 からカウントを開始し、フォーマットは ${ 子フロー名.curLoop } です。
ループインデックス: 0 からカウントを開始し、フォーマットは ${ 子フロー名.curIndex } です。
例:
子フローでは、メールを作成するときに NotifyMessage コンポーネント でループインデックスを使用して、開始ノードから配列パラメーター値を取得します。
コンポーネント条件構成手順
排他ゲートウェイ、包括的ゲートウェイ、子フローループの終了、フィルターコンポーネントなどのシナリオでは、対応する機能を完了するために、判定条件を構成する必要があります。SOAR は、これらの構成を完了するための共通ページを提供しており、ルールは次のとおりです。
番号 | 説明 |
1 - 論理演算子 | AND: すべての条件を満たす必要があります。 OR: いずれか 1 つの条件を満たせば十分です。 重要 論理演算子は、同じグループ内の異なるルール間の論理関係のみを決定できます。 |
2 - NOT スイッチ | 現在のグループの条件判定を否定します。 |
3 - グループ内にルールを追加 | グループ内にルールを追加します。グループ内の複数のルール間の論理関係は、左上隅の 1 - 論理演算子によって決まります。 |
4 - 条件グループを追加 | クリックして、フィルター条件のグループを追加します。 重要 異なるグループ間の条件は AND として固定されており、1 - 論理演算子の影響を受けません。 |
5 - 条件フィールド | 式と定数の入力をサポートします。通常は前のノードの出力フィールドです。 |
6 - 条件判定ルール | 文字列、数値、データセットに対して IN、= などの操作をサポートします。具体的な手順については、以下の フィルターコンポーネント を参照してください。 |
7 - 条件値 | 式と定数の入力をサポートします。 |
条件構成例
上の図を例にとると、ノードの name が john または alice で、age が 12 から 20 の間 ( 境界値を含む ) の場合、条件を満たしていると判断されます。
条件判定ルールの説明
ルール | 説明 | 備考 |
IP データセットに含まれない | IP データセットに含まれていません。 | データセットは、「Security Center - CTDR - 統合センター - 観測リスト」で構成してから選択する必要があります。 |
IP データセットに含まれる | IP データセットに含まれています。 | |
データセットに含まれない | データセットに含まれていません。 | |
データセットに含まれる | データセットに含まれています。 | |
文字列 | 等しい | 等しい。 | なし |
文字列 | 等しくない | 等しくない。 | なし |
文字列 | 含む | 含む。 | 例: abc は bc を含みます。 |
文字列 | 含まない | 含まない。 | 例: abc は d を含みません。 |
文字列 | で始まる | で始まる。 | 例: abc は ab で始まります。 |
文字列 | で終わる | で終わる。 | 例: abc は bc で終わります。 |
文字列 | で終わらない | で終わらない。 | 例: abc は ab で終わりません。 |
文字列 | 正規表現一致 | 正規表現一致。 | 例: abcabc は (abc)+ に一致します。 |
文字列 | 正規表現不一致 | 正規表現に一致しません。 | 例: abab は (abc)+ に一致しません。 |
文字列 | 空である | 空の文字列です。 | 空の文字列、null、および NULL はすべて空の文字列と見なされます。 |
文字列 | 空でない | 空の文字列ではありません。 | なし |
数値 | 等しい | 等しい。 | なし |
数値 | 等しくない | 等しくない。 | なし |
数値 | より大きい | より大きい。 | なし |
数値 | 以上 | 以上。 | なし |
数値 | より小さい | より小さい。 | なし |
数値 | 以下 | 以下。 | なし |
数値 | 範囲 | 数値の条件値が構成された範囲内にあるかどうか。フォーマットは「値, 値」です。 | 例: 1 は -1,5 の範囲内です。 |