ユーザー(管理者)のリクエストを定義する
エンドユーザーがホームページ画面で選択するリクエストを定義できます。リクエストは、アナリストが手動で処理するか、ハンドブックを使用して処理できます。これにより、リクエスト プロセスを自動化し、IT から SOC、また、MSSP からエンドユーザー などの異なるチーム間の内部チケット システムにプラットフォームを変換できます。各リクエストは、明確に定義するために「Request」というラベルが付いたケースとしてプラットフォームに入ります。
このようなリクエストの例には、悪意のある IP のブロックや、SIEM ルールの最適化、新しいユーザーのオンボーディングなど、さまざまなリクエストがあります。
この記事では、具体的なリクエスト テンプレートの作成方法とエンドツーエンドのフローを示します。
シナリオ: 私は SOC マネージャーとして、SOC チームが Salesforce に内部ユーザー用の権限を追加するようリクエストできるようにしたいと考えています。
ステップ 1: リクエストを定義する
ステップ 2: ハンドブックを作成する
リクエストの定義
自動化できるリクエストと、付属のハンドブックの作成方法について、時間をかけて計画することをおすすめします。
Salesforce 権限のリクエストを定義するには:
- [設定] > [環境] > [リクエスト] の順に移動します。
- 画面の右上にある [リクエストの追加 +] アイコンをクリックします。
- 論理名と環境を追加したら、リクエスト タイプを選択する必要があります。
このタイプは基本的にリクエストが属するカテゴリです。ここで選択したタイプによって、下の [イベント フィールド] プルダウンに表示されるエンティティが決まります。この例では [ログイン] を選択します。 - イベント フィールドは、プラットフォームが受信したケース リクエストを認識し、適切な「マッピングとモデリング」をバックグラウンドで実行する方法を提供します。最初のフィールドには、フィールド名を手動で入力する必要があります。
次に、フィールドの種類(メール、文字列など)を選択します。
ウォーターマーク フィールドに、リクエスト元用の指示(何を追加する必要があるか)を追加します。
最後のフィールドでは、イベント フィールド(未加工のイベントをシステムに取り込む)を使用するか、後でハンドブックで使用できるエンティティを使用するかを選択できます。以下の例では、Username と SourceUserName のエンティティを使用しています。
- [Add] をクリックします。
ハンドブックの作成
次のステップでは、新しいケース リクエストがプラットフォームに入力されると自動的に実行されるハンドブックを作成します。次の手順では、この特定のリクエストに対する特定のハンドブックの作成方法を示しています。
- 適切な名前と環境で新しいハンドブックを作成します。
- アラートタイプ トリガーを選択します。Salesforce 権限の承認と同じです(以前に [設定] 画面で作成したテンプレート)。
- アクティブ ディレクトリの追加 - エンティティを拡充して、ユーザーに関する詳細情報を取得します。
- アクティブ ディレクトリ - ユーザーをグループに追加します。パラメータを必ず次のように記入してください。
アクション タイプ: 手動- ハンドブックの実行が停止し、それ以降の指示を待機します。
割り当て先: 管理者- ステップは、特定のユーザーまたは SOC ロールのいずれかに割り当てることができ、ホームページとケースビューの両方に「保留中のアクション」として表示されます。
割り当て先へのメッセージ: Salesforce グループに対するユーザー [Entity.Identifier] の権限を承認または拒否してください。メッセージは、保留中のアクションの詳細の一部として表示されます。
応答時間 - このタイマーを有効にして、割り当てられたユーザーが応答できる日を設定します。
- Siemplify のクローズケース アクションを追加します。これにより、管理者がリクエストを承認または拒否すると、ハンドブックが閉じられます。
これで、対応するハンドブックでリクエストが作成されました。
ここをクリックして、ユーザーがリクエストを選択する方法を確認してください。
ユーザーがリクエストを選択すると、リクエスト ケースとしてシステムに入力されます。
ハンドブックは、管理者からの入力の続行を待機しています。
リクエストを承認するには、どうすればよいですか?
保留中のリクエストを確認するために移動できるプラットフォーム内の場所は 3 つあります。
- [ケース] 画面 - 該当する [アラート] の下の [ハンドブック] タブをクリックし、サイドドロワーの [実行] ボタンをクリックしてリクエストを承認します。
- [ケース] 画面 - 概要。該当するウィジェットの [実行] ボタンをクリックします。
- ホームページ - [保留アクション] タブをクリックし、[必要な保留アクション] を選択します。[実行] をクリックしてリクエストを承認します。