2025/01/30 現在、β版として一部の上位プランやオプション機能として提供している「タグ」「ルール」「アクション」についてご紹介します。
「タグ」「ルール」「アクション」の3つを組み合わせて使うことで、報告メールの確認・対応フローをルールベースで自動化することができます。
概要
タグ
報告メールに付与することができます。
後述するルールによって報告メールにタグを付与することで、アクションを起動させることができます。
例えば、「セキュリオの通知」のような名前でタグを作ります。
ルール
タグと組み合わせて使います。ルールを作って有効にすることで、
報告メールに「設定した条件に該当する時、任意のタグを付与する」ことが自動で行えます。
例えば「セキュリオのドメイン(seculio.com)から受信した通知メールを怪しまれ、報告される」ことを想定し、『「送信元メールアドレス が seculio.com で 終わる」という条件に該当するメールが報告されたら「セキュリオの通知」というタグを付与する』というカラムベースのルールを作ります。
アクション
タグ・ルールと組み合わせて使います。
アクションを作って有効にすることで、報告時にルールによってタグが付与された時、
報告メールに「管理者または報告者への通知」と「分類選択と確認状況を変更する」ことが自動で行えます。
例えば『前述のルールによって「セキュリオの通知」というタグが付与されたら、管理者Aさんに「報告メールがセキュリオの通知だったので安全と振り分けた」という旨の通知を行い、分類選択を「安全」 確認状況を「確認完了」に変更する』というアクションを作ります。
一連の「タグ」「ルール」「アクション」が機能することで、通常人の手で行われていた確認作業を自動化することができます。
「タグ」「ルール」「アクション」のユースケース
1つめのユースケースとしては、概要セクションの例で触れたような「報告メールを安全とみなし、確認フローを自動化する」というケースがあります。
別のユースケースとしては、『一度手動で「危険」と判定した結果を踏まえ、再度類似のメールが報告された時に「危険」とみなし、確認フローを自動化する」というケースで活用することができます。
基本的には、手動で行っていた報告メールの確認作業のうち、パターン化されたものをルール・アクションとして作ることで、手動での確認作業を自動化し運用者の作業負担を減らそうという考え方です。
パターン化された確認作業は自動化し、本当に注力して確認すべき脅威に時間を割けるようになると、あなたは一流のセキュリティ担当者かもしれません。
その他
- アクションの、「報告メールの解析結果を報告者へ自動返信する」機能は現在開発中です。
- 「YARAルール」は、設定方法やナレッジが現状未整備です。今後、案内を整備いたします。