ワークフロー機能について
作成日:2019年8月30日 | 更新日:2022年7月28日
EventLog Analyzerでは、ワークフロー機能の概要および設定方法を紹介します。
前提条件
- 使用しているビルドが「12050以上」であること
- Windows版のEventLog Analyzerであること
機能概要
本機能「ワークフロー」は、アラート通知時の二次アクションを設定するものとなります。
※よって、ワークフローを使用するためには、EventLog Analyzerにあらかじめ、アラートプロファイルを設定しておく必要があります
EventLog Analyzerが監査対象に対して、アラートを検知した際、以前ではメール通知もしくはスクリプトの実行のみが可能でしたが、
ワークフロー機能を利用することにより、対象機器の停止や機器にログインしているユーザーの無効化などを自動的に行なえるようになります。
以下、ワークフローにて設定可能なアクション一覧となります。
| アクション | 設定可能なパラメーター |
| ネットワークアクション | |
| pingの実行: 対象のデバイスへpingを実行し、接続を確認 |
|
| tracert (traceroute)の実行: デバイスへのtracert (traceroute)を実行 |
|
| プロセスアクション | |
| プロセスのテスト: 対象のデバイスにて、特定のプロセスの状態を確認 |
|
| プロセスの起動: 対象のデバイスにて、特定プロセスを起動 |
|
| プロセスの停止: 対象のデバイスにて、特定のプロセスを停止 |
|
| サービスアクション | |
| サービスのテスト: 対象のデバイスにて、特定のサービスの状態を確認 |
|
| サービスの起動: 対象のデバイスにて、特定のサービスを起動 |
|
| サービスの停止: 対象デバイスにて、特定のサービスを停止 |
|
| Windowsアクション | |
| ログオフ: 現行のセッションからログオフ |
|
| シャットダウン: Windowsデバイスのシャットダウン |
|
| 再起動: Windowsデバイスの再起動 |
|
| Windowsのスクリプト実行: Windowsデバイスにて、特定のスクリプトファイルを実行
※EventLog Analyzerサーバー上に配置したスクリプトファイルを実行するには、[宛先デバイス]に「 localhost」 と設定する必要があります |
|
| USBの無効化: デバイスのUSBポートを無効化 |
|
| Linuxアクション | |
| シャットダウン: Linuxデバイスのシャットダウン |
|
| 再起動: Linuxデバイスの再起動 |
|
| Linuxのスクリプト実行: Linuxデバイスにて、特定のスクリプトファイルを実行 |
|
| 通知アクション | |
| ポップアップメッセージの送信: デバイス画面上にて、ポップアップメッセージを表示 |
|
| メールの送信: メールを送信 |
|
| Active Directoryアクション | |
| ユーザーの無効化: ユーザーアカウントを無効化 |
|
| ユーザーの削除: ユーザーアカウントを削除 |
|
| コンピューターの無効化: コンピューターアカウントを無効化 |
|
| その他アクション | |
| ファイルへ書き込み: ファイルへメッセージを書き込み |
|
| ロジックブロック | |
| 決定: 条件分岐のオプション | こちらを使用することで、ワークフロー作成時に条件分岐の設定が可能となります |
| 時間の遅延: アクション実行の時間を遅延 |
|
設定方法
1. EventLog Analyzer画面にて、[アラート]>>[ワークフローを管理]に移動してください。
※製品に既存で備わっているワークフローのリストが表示されます
2. 画面右上の[ワークフローを作成]をクリックしてください。
3. 任意の[ワークフロー名]を入力してください。
※今回は例として、以下のワークフローを作成します。
①対象のWindowsデバイスにログイン中のユーザーをログオフ(強制)>>②ユーザーを無効化>>③Windowsデバイスをシャットダウン
4. 画面左のアクションリストの[Windowsのアクション]配下より、「ログオフ」をドラッグ&ドロップしてください。
5. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます
6. 画面左のアクションリストの[Active Directory]配下より、「ユーザーの無効化」をドラッグ&ドロップしてください。
7. 設定画面にて、[OK]をクリックしてください。
※[ユーザー]はデフォルトで「%DOMAIN%\%USERNAME%」(変数)となっており、自動的にアラート対象のデバイスにログイン中のデバイスが設定されます
8. 画面左のアクションリストの[Windowsのアクション]配下より、「システムをシャットダウン」をドラッグ&ドロップしてください。
9. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます
設定後のワークフローは、以下のようになります。
10. 画面右上の[保存]をクリックし、ワークフローを保存してください。
11. 作成したワークフローは、アラートプロファイル作成/編集時に設定することが出来ます。
※以下、参照画像となります。
発生したアラート/インシデントに対してワークフロー実行する方法
ビルド12235より、既に発生したアラートまたはインシデントに対してワークフローの実行が可能となりました。
発生したアラートからワークフローを実行する方法
[アラート]タブにて、発生したアラートの列「ワークフローの状態」より「ワークフローを実行する」をクリックします。
「ワークフローを実行する」をクリック後に表示される画面にて、実行するワークフローの詳細を指定できます。
「アラートプロファイルに関連付ける」をクリックすることで、該当アラートプロファイルに指定したワークフローを設定できます。
発生または生成したインシデントからワークフローを実行する方法
[アラート] -> [インシデント] -> 該当インシデントをクリック -> 証拠タブ下に記録した証拠情報より「ワークフローを実行する」をクリックします。
「ワークフローを実行する」をクリック後に表示される画面にて、実行するワークフローの詳細を指定できます。
※証拠タブから「ワークフローを実行する」をクリックした場合は、「アラートプロファイルに関連付ける」リンクは表示されません。
以上です。