コンテンツにスキップするには Enter キーを押してください

Tinesによるチケット作成、自動デバイス特定、脅威トリアージの自動化方法

投稿日 2025年7月9日

Image

ワークフローオーケストレーションおよびAIプラットフォームであるTinesのチームが運営するTinesライブラリには、セキュリティ実務者がコミュニティ全体から共有した1,000以上の事前構築済みワークフローが揃っています。これらはすべて、プラットフォームのCommunity Editionで無料でインポート・展開できます。

最近注目されたのは、CrowdStrike、Oomnitza、GitHub、PagerDutyを使ってマルウェアアラートを処理するワークフローです。fin.aiの開発元であるIntercomのLucas Cantor氏によって開発され、このワークフローはセキュリティアラートの重大度を判断し、デバイス所有者の対応に応じてシームレスにエスカレーションするのを容易にします。「エンドポイントに追加されたセキュリティ問題にコンテキストを加え、ノイズを減らす素晴らしい方法です」とLucas氏は説明しています。

このガイドでは、ワークフローの概要と、設定・運用開始までの手順を紹介します。

セキュリティチームにとって、マルウェア脅威への対応、その重大度の分析、デバイス所有者の特定と連絡による脅威解決は、多くの時間を要します。

ワークフローの観点では、チームはしばしば以下の作業を手動で行う必要があります:

  • CrowdStrikeイベントへの手動対応
  • アラートに追加メタデータを付与
  • デバイス所有者にSlackで記録・通知
  • PagerDutyでオンコールチームに通知

このプロセスを手動で行うと、遅延や人的ミスのリスクが高まります。

解決策 – チケット作成、デバイス特定、脅威トリアージの自動化#

Lucas氏の事前構築済みワークフローは、マルウェアアラートの受信からケース作成までのプロセスを自動化し、デバイス所有者とオンコールチームへの通知も確実に行います。このワークフローにより、セキュリティチームは脅威レベルをより迅速かつ正確に特定できます:

  • CrowdStrikeからの新しいアラートを検知
  • デバイス所有者の特定と通知
  • 重大な問題のエスカレーション

その結果、マルウェアセキュリティアラートへの対応が効率化され、重大度に関わらず迅速に対処できるようになります。

このワークフローの主な利点:

  • 対応時間の短縮
  • デバイス所有者への情報共有
  • 明確な対応・エスカレーション経路
  • 集中管理システム

ワークフロー概要#

使用ツール:#

  • Tines – ワークフローオーケストレーションおよびAIプラットフォーム(無料Community Editionあり)
  • CrowdStrike – 脅威インテリジェンスおよびEDRプラットフォーム
  • Oomnitza – IT資産管理プラットフォーム
  • GitHub – 開発者プラットフォーム
  • PagerDuty – インシデント管理プラットフォーム
  • Slack – チームコラボレーションプラットフォーム

仕組み #

パート1#

  • CrowdStrikeからセキュリティアラートを受信
  • アラートが発生したデバイスを特定し、その詳細を検索
  • GitHubでアラートのチケットを作成し、Slackメッセージで問題を報告
  • デバイスがユーザー所有かつ低優先度の場合、
    • 所有者にエスカレーション依頼のメッセージを送信
  • デバイスがユーザー所有かつ高優先度の場合、
    • PagerDutyイベントを作成し、オンコールアナリストに通知
    • 所有者に進行中の問題を通知

パート2#

  • Slackメッセージへのユーザー操作を取得
  • GitHubの課題にユーザーの応答を付加
  • 所有者が問題をエスカレートした場合
    • PagerDutyイベントを作成し、オンコールアナリストに通知

ワークフロー設定 – ステップバイステップガイド #

Image

1. Tinesにログインするか、新しいアカウントを作成します。

2. ライブラリ内の事前構築済みワークフローに移動し、インポートを選択します。これで新しいワークフローがすぐに利用可能になります。

3. 資格情報を設定します

Image

Tinesテナントには以下5つの資格情報が必要です:

  • CrowdStrike
  • Oomnitza
  • GitHub
  • PagerDuty
  • Slack

上記に類似するサービスも、ワークフローを調整すれば利用可能です。

資格情報ページで「新規資格情報」を選択し、該当する資格情報までスクロールして必要項目を入力します。CrowdStrike、Oomnitza、GitHub、PagerDuty、Slackの資格情報ガイドはexplained.tines.comをご参照ください。

4. アクションを設定します。

  • 環境変数を設定します。これには以下が含まれます:
    • Slack ITチャンネルのアラート用Webhook(`slack_channel_webhook_urls_prod`)
    • CrowdStrike/GitHubの重大度優先度マッピング(`crowdstrike_to_github_priority_map`)
  • CrowdStrikeで新規検知時にNew CrowdStrike Detection Webhookへ通知するよう設定
  • SlackBotのインタラクティブURLをReceive Slack Button Push Webhookに設定

5. ワークフローをテストします。

6. 公開・運用開始

テスト後、ワークフローを公開します。

このワークフローを試したい場合は、無料のTinesアカウントにサインアップできます。

翻訳元: https://thehackernews.com/2025/07/how-to-automate-ticket-creation-device.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です