FortiSOAR 7.6、FortiSIEM 7.3 Exact Extract 学習ガイドからの包括的かつ詳細な説明:
FortiSOAR 7.6では、プレイブックエンジンはJinja2式を利用して動的データを処理します。プレイブックに手動トリ​​ガーが設定されている場合、管理者は、アナリストがレコードからプレイブックを実行する際に入力する必要がある入力フィールド（テキスト、選択リスト、チェックボックスなど）を定義できます。
* 入力パラメータのマッピング：この手動トリガーフェーズでユーザーが入力したデータは、varsオブジェクト内のinput.params辞書に自動的にマッピングされます。したがって、特定の入力値を取得するための構文は{{ vars.input.params.variable_name }}です。
* 変数のスコープ: この特定のパスにより、変数は後続のステップ (vars.steps) の出力またはグローバルに定義された変数 (globalVars) からではなく、最初のユーザー入力から取得されるようになります。

* プレイブックトリガーについて理解する:
* プレイブック トリガーは、FortiAnalyzer または FortiSOAR 内の自動化されたワークフローの開始点です。
* これらのトリガーは、プレイブックがいつどのように実行されるかを決定し、関連情報 (トリガー変数) をプレイブック内の後続のタスクに渡すことができます。
* プレイブックトリガーの種類:
* イベントトリガー:
* 特定のイベントが発生したときにプレイブックを開始します。
* イベントの詳細は、後のタスクで変数として使用して、応答をカスタマイズできます。
* イベントの詳細をトリガー変数として使用できるため選択されています。
* インシデントトリガー:
* インシデントが作成または更新されたときにプレイブックをアクティブ化します。
* インシデントの詳細は、後続のタスクで変数として利用できます。
* インシデントの詳細をトリガー変数として使用できるようになるため選択されました。
* スケジュールトリガー:
* 指定された時間または間隔でプレイブックを実行します。
* 本質的には、トリガー イベントを使用して変数を後続のタスクに渡すことはありません。
* トリガー イベントの詳細を渡す必要がないため、選択されません。
* オンデマンドトリガー:
* プレイブックを手動で、または必要に応じて実行します。
* 後のタスクで使用するためにトリガー イベントの詳細は自動的には含まれません。
* 変数にトリガー イベントを使用しないため、選択されません。
* 実装手順:
* ステップ 1: プレイブック構成で、EVENT または INCIDENT トリガーの条件を定義します。
* ステップ 2: トリガー イベントまたはインシデントの詳細を後続のタスクで使用して、アクションと応答をカスタマイズします。
* ステップ 3: プレイブックをテストして、トリガー変数が正しく渡され、利用されていることを確認します。
* 結論：
* EVENT トリガーと INCIDENT トリガーは、特定の発生に基づいてプレイブックを開始するように特別に設計されており、後続のタスクでトリガーの詳細を使用できます。
プレイブック構成に関する Fortinet ドキュメント FortiSOAR プレイブック ガイド EVENT トリガーと INCIDENT トリガーを使用すると、トリガー イベントを後続のタスクで変数として活用できるため、より動的で応答性の高いプレイブック アクションが可能になります。

* プレイブックの構成を理解する:
* 「資産および ID データベースの更新」というプレイブックは、エンドポイントとユーザーの情報を使用して FortiAnalyzer 資産および ID データベースを更新するように設計されています。
* この展示では、ON_SCHEDULE STARTER、GET_ENDPOINTS、UPDATE_ASSET_AND_IDENTITY という 3 つの主要コンポーネントを含むプレイブックを示しています。
* コンポーネントの分析:
* ON_SCHEDULE STARTER: このコンポーネントは、プレイブックがオンデマンドではなくスケジュールに従ってトリガーされることを示します。
* GET_ENDPOINTS: このアクションはエンドポイントに関する情報を取得し、エンドポイント管理システムと対話することを示唆します。
* UPDATE_ASSET_AND_IDENTITY: このアクションは、取得した情報で FortiAnalyzer Asset and Identity データベースを更新します。
* オプションの評価:
* オプション A: プレイブックに表示されるアクションは、FortiAnalyzer によって実行できる標準のローカル アクションであり、ローカル コネクタが使用されていることを示しています。
* オプション B: タスクには電子メールではなくエンドポイントと ID 管理が含まれるため、プレイブックで FortiMail コネクタが使用されているという表示はありません。
* オプション C: プレイブックは「ON_SCHEDULE」トリガーを使用していますが、これはオンデマンド トリガーの説明と矛盾しています。
* オプション D: アクション「GET_ENDPOINTS」は、エンドポイントを管理し、そこから情報を取得するエンドポイント管理システム (FortiClient EMS など) との統合を提案します。
* 結論：
* プレイブックは、アクションにローカル コネクタを使用するように構成されています。
* FortiClient EMS と対話してエンドポイント情報を取得し、FortiAnalyzer 資産および ID データベースを更新します。
参考文献:
プレイブックのアクションとコネクタに関する Fortinet のドキュメント。
FortiAnalyzer と FortiClient EMS の統合ガイド。

FortiSOAR 7.6、FortiSIEM 7.3 Exact Extract 学習ガイドからの包括的かつ詳細な説明:
FortiSIEM 7.3 および FortiSOAR 7.6 で使用される MITRE ATT&CK マッピングによれば、説明されている動作は次の手法に対応します。
* 非標準ポート（T1571）：この手法では、攻撃者は通常は関連付けられていないプロトコルとポートの組み合わせを使用して通信を行います。インシデントレポートでは、標準ポート443ではなくTCP 8443で実行されているHTTPS（TLS）トラフィックが特定されています。FortiSIEMには、「疑わしい典型的なマルウェアのバックコネクトポート」などの相関ルールが組み込まれており、このようなプロトコルとポートの不一致を検出します。
* 代替プロトコル経由の窃取 (T1048): この手法は、攻撃者が主要なコマンドアンドコントロール (C2) チャネルとは異なるプロトコルを介してデータを窃取する手法を指します。このシナリオでは、C2 チャネルはポート 8443 で HTTPS 経由で確立され、攻撃者は特大サイズの TXT ペイロードを含む DNS クエリを使用して、ステージングされたファイルを転送します。DNS は、標準的なデータ転送監視と出力フィルタリングを回避するために使用される一般的な「代替プロトコル」です。
誤った選択肢の分析:
* リモートサービスの悪用 (B): この手法は初期アクセスまたはラテラルムーブメント戦術に分類され、SMBやRDPなどのネットワークサービスの脆弱性を介してシステムへの侵入を狙うものです。確立されたC2チャネルの維持やデータの窃取には適用されません。
* アーティファクトの隠蔽 (D): これは、攻撃者がログファイルやレジストリキーなどの痕跡を削除することで存在を隠蔽しようとする防御回避手法です。攻撃者は「通常のトラフィックを模倣」していますが、非標準ポートの使用やDNS情報の窃取といった具体的な行為は、攻撃者独自のより具体的な手法によって定義される主要な行動シグネチャです。

* カスタム イベント ハンドラーの構成について理解する:
* イベント ハンドラーは、特定のログ データに基づいてイベントを生成するように設定されています。
* 目標は、FortiMail によって検出されたスパム メール専用のイベントを生成することです。
* 問題の分析:
* イベント ハンドラーは現在、スパム メールとクリーン メールの両方に対してイベントを生成しています。
* これは、ルールのフィルタリング基準がスパムメールと非スパムメールを正しく区別していないことを示します。
* オプションの評価:
* オプションA：ログの種類で「アンチスパムログ（スパム）」を選択すると、スパムメールに関連するログのみが対象となります。これは、スパムメールをフィルタリングする最も簡単で正確な方法です。
* オプション B: ログ フィルター (テキスト) フィールドに type==spam と入力すると、ログのフィルター処理には役立ちますが、正しいログ タイプを選択する場合ほど直接的かつ信頼できるものではありません。
* オプション C: データ セレクターでフィルターを使用してイベントを作成するルールを無効にしても、スパム ログのフィルター処理の問題は具体的には解決されません。
* オプション D:「グループ内で、ログ フィールド スパム名 (snane) に 2 つ以上の一意の値がある」を選択すると、スパム ログのフィルタリングには直接関係がないため、フィルタリング基準が不正確になる可能性があります。
* 結論：
* ルールの正しい変更は、「ログの種類」フィールドで「アンチスパムログ（スパム）」を選択することです。これにより、イベントハンドラーはスパムメールに対してのみイベントを生成するようになります。
参考文献:
イベント ハンドラーとログ タイプに関する Fortinet のドキュメント。
FortiMail のスパム対策設定を構成するためのベスト プラクティス。