ワークフローの自動化
エスカレーション通知への応答
通知と調査の形式は、この記事で説明した形式と同じではない場合があります。これは、組織がワークフロー自動化Admin Portalで構成した通知と調査テンプレートに応じて異なります。
マネージャーまたは承認者として、ワークフロー自動化Admin Portalは、データ損失防止(DLP)ポリシーに違反するトランザクション(インシデント)に関するアラート通知(メール、Slackメッセージ、Microsoft Teamsメッセージなど)を送信します。通知には、インシデントの次のステップを承認または提案するために完了する必要がある調査に関連付けられたインシデント詳細リンクが含まれています。
インシデントは、エンド ユーザーによって提出された正当化が承認されないとき、またはインシデントの重大度と優先度が高いときにはエスカレートすることができます。組織がエンド ユーザーが提出した正当性を認めた場合、そのインシデントについては通知されません。
エスカレーション通知の表示
インシデントがエスカレーションされると、レスポンスを要求する通知(メール、Slackメッセージ、Microsoft Teamsメッセージなど)が届きます。通知には、次の情報が含まれています。
- インシデントを担当するエンド ユーザーのメール アドレス。難読化の対象にユーザーのメール アドレス属性を選択すると、通知用のユーザーのメール アドレスのフィールドに複数のアスタリスクが表示されます。ユーザー データの難読化についての詳細は、アカウント設定の管理および管理者割り当ての管理を参照してください。
- インシデントが発生した日時。
- インシデントの詳細リンクでは、インシデントの詳細を表示したり、インシデントに対応するための調査を完了したりできます。このリンクは24時間のみ有効です。
- インシデントID。
- インシデントのホスト名またはアプリケーション。
- インシデントの優先度。
- 上申を開始した管理者から承認者へのメモ。このメモは、管理者がメモを入力した場合にのみ表示されます。
次のイメージは、メール、Slackメッセージ、Microsoft Teamsメッセージで送信されたエスカレーション通知の例です。エスカレーション通知には同じ情報が含まれますが、メッセージの形式は異なります。
メール設定によっては、エスカレーション通知メールがスパムとしてタグ付けされ、迷惑メール フォルダーに振り分けられる場合があります。エスカレーション通知メールを受信トレイで直接受信するように設定を変更します。
インシデントの詳細の表示
インシデントの詳細を表示するには、エスカレーション通知に記載されている[インシデントの詳細リンク]をクリックします。[インシデント]ページにリダイレクトされ、次の詳細を表示できます。
- 概要
- 違反の詳細
元のユーザーのサブセクション下に表示される属性は、クロスドメイン アイデンティティー管理システム(SCIM)のプライマリー ユーザー データ ソースまたはCSVファイル経由でワークフローの自動化にインポートされた情報およびインポートされたかどうかに応じて異なります。詳細は、アカウント設定の管理、ユーザー属性の管理、およびMicrosoft Entra ID用SAMLとSCIMの構成ガイドを参照してください。
- 送信元DLPタイプ インラインのインシデント
- [名前]:インシデントの責任者であるエンド ユーザーの名前。難読化の対象にユーザー名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [メール]:インシデントの責任者であるエンド ユーザーのメール アドレス。難読化の対象にユーザー メール属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [クライアントIP]:エンド ユーザーのクライアントIPアドレス。難読化の対象にクライアントIP属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [マネージャー名]:ユーザーのマネージャーの名前。難読化の対象にマネージャー名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [マネージャーのメール アドレス]:マネージャーのメール アドレス。難読化の対象にマネージャーのメール アドレス属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [従業員番号]:エンド ユーザーの従業員番号。
- [役職]:エンド ユーザーの役職。
- [部署]:エンド ユーザーの部署。
- [自宅場所]:エンド ユーザーの自宅所在地。
- [勤務地]:エンド ユーザーの勤務地。
- [追加情報]:インシデントの責任者であるエンド ユーザーに関連付けられているユーザー属性が表示されます。追加のユーザー属性を表示するには、以下の手順を実行します。
- このフィールドに提供されたリンクをクリックします。[追加情報]ウィンドウが表示されます。
[追加情報]ウィンドウでは、エンド ユーザー属性、マネージャー属性、アドレスなど、インシデントに関連付けられたデータを表示できます。難読化の対象にユーザー属性を選択した場合、これらの難読化された属性は、このウィンドウに複数のアスタリスク付きで表示されます。
追加情報は、インシデント生成時に選択したプライマリー ユーザー データ ソース(CSVまたはSCIM)からフェッチされます。
たとえば、インシデントの生成中にプライマリー ユーザー データ ソースとして[CSV]を選択した場合、[追加情報]ウィンドウには、インポートされたCSVファイルから取得されたユーザー属性が表示されます。詳細は、アカウント設定の管理を参照してください。
インシデントについて表示される追加情報は、プライマリー ユーザー データ ソースを変更しても変わりません。プライマリー ユーザー データ ソース設定の変更は、新しいインシデントにのみ影響します。
ユーザー データの難読化についての詳細は、アカウント設定の管理および管理者の割り当ての管理を参照してください。
- ポリシー:
- [ルール]:エンド ユーザーが違反したDLPルール(例:Block-HIPAA)。
- [エンジン]:インシデントに関連付けられているDLPエンジン。
- [一致数を持つ辞書]:インシデントに関連付けられているDLP辞書。エンド ユーザーのトラフィックが特定の辞書に違反した回数は、括弧内に表示されます(例:医療情報[2])。
- [その他の一致したルール]:このフィールドをクリックすると、インシデントの原因となったプライマリーDLPルールに加えて、インシデントが違反したルールが表示されます。このフィールドは、送信元DLPタイプの[インライン]と[エンドポイント]のインシデントでのみ利用できます。
ポリシー フィールドは、ワークフロー自動化Admin Portalの[Zscaler DLP統合]ページまたは[Zscaler DLP Azure統合]ページで[ポリシー詳細を非表示ーマネージャー/承認者]のフィールドが選択されていない場合にのみ利用できます。詳細は、Amazon Web Servicesを使用したDLPアプリケーション統合の構成およびAzureを使用したDLPアプリケーション統合の構成を参照してください。
- コンテンツ:
- ファイル名:ファイルの名前です。
- ファイルの種類:ファイルの種類または拡張子。
- [ファイルMD5]:ファイルの32文字のMD5ハッシュ。
- アプリケーション:
- URL:アプリケーションのURL。
- 名前:アプリケーションの名前。
- カテゴリ:アプリケーションのカテゴリ。
次のイメージは、インライン インシデントの違反の詳細セクションの例です。違反の詳細セクションに表示される情報は、インシデントのタイプに応じて異なります。
閉じる - 送信元DLPタイプのSaaSセキュリティのインシデント
- [名前]:インシデントの責任者であるエンド ユーザーの名前。難読化の対象にユーザー名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [マネージャー名]:ユーザーのマネージャーの名前。難読化の対象にマネージャー名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [マネージャーのメール アドレス]:マネージャーのメール アドレス。難読化の対象にマネージャーのメール アドレス属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [従業員番号]:エンド ユーザーの従業員番号。
- [役職]:エンド ユーザーの役職。
- [部署]:エンド ユーザーの部署。
- [自宅場所]:エンド ユーザーの自宅所在地。
- [勤務地]:エンド ユーザーの勤務地。
- [追加情報]:インシデントの責任者であるエンド ユーザーに関連付けられているユーザー属性が表示されます。追加のユーザー属性を表示するには、以下の手順を実行します。
- このフィールドに提供されたリンクをクリックします。[追加情報]ウィンドウが表示されます。
[追加情報]ウィンドウでは、エンド ユーザー属性、マネージャー属性、アドレスなど、インシデントに関連付けられたデータを表示できます。難読化の対象にユーザー属性を選択した場合、これらの難読化された属性は、このウィンドウに複数のアスタリスク付きで表示されます。
追加情報は、インシデント生成時に選択したプライマリー ユーザー データ ソース(CSVまたはSCIM)からフェッチされます。
たとえば、インシデントの生成中にプライマリー ユーザー データ ソースとして[CSV]を選択した場合、[追加情報]ウィンドウには、インポートされたCSVファイルから取得されたユーザー属性が表示されます。詳細は、アカウント設定の管理を参照してください。
インシデントについて表示される追加情報は、プライマリー ユーザー データ ソースを変更しても変わりません。プライマリー ユーザー データ ソース設定の変更は、新しいインシデントにのみ影響します。
ユーザー データの難読化についての詳細は、アカウント設定の管理および管理者の割り当ての管理を参照してください。
- ポリシー:
- [ルール]:エンド ユーザーが違反したDLPルール(例:Block-HIPAA)。
- [エンジン]:インシデントに関連付けられているDLPエンジン。
- [一致数を持つ辞書]:インシデントに関連付けられているDLP辞書。エンド ユーザーのトラフィックが特定の辞書に違反した回数は、括弧内に表示されます(例:医療情報[2])。
ポリシー フィールドは、ワークフロー自動化Admin Portalの[Zscaler DLP統合]ページまたは[Zscaler DLP Azure統合]ページで[ポリシー詳細を非表示ーマネージャー/承認者]のフィールドが選択されていない場合にのみ利用できます。詳細は、Amazon Web Servicesを使用したDLPアプリケーション統合の構成およびAzureを使用したDLPアプリケーション統合の構成を参照してください。
- コンテンツ:
- ファイル名:ファイルの名前です。
- ファイルの種類:ファイルの種類または拡張子。
- [ファイルMD5]:ファイルの32文字のMD5ハッシュ。
- ファイルサイズ:ファイルの大きさ。
- アプリケーション:
- 名前:アプリケーションの名前。
- カテゴリ:アプリケーションのカテゴリ。
次の画像は、Saasセキュリティ インシデントの違反の詳細のセクションの例です。違反の詳細のセクションに表示される情報は、インシデントのタイプに応じて異なります。
閉じる - 送信元DLPタイプ エンドポイントのインシデント
- [名前]:インシデントの責任者であるエンド ユーザーの名前。難読化の対象にユーザー名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [マネージャー名]:ユーザーのマネージャーの名前。難読化の対象にマネージャー名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [マネージャーのメール アドレス]:マネージャーのメール アドレス。難読化の対象にマネージャーのメール アドレス属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [従業員番号]:エンド ユーザーの従業員番号。
- [役職]:エンド ユーザーの役職。
- [部署]:エンド ユーザーの部署。
- [デバイス名]:ユーザーのデバイスの名前。難読化の対象にデバイス名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。
- [デバイスOS]:ユーザーのデバイスのオペレーティング システム。
- [デバイス信頼レベル]:ユーザーのデバイスの信頼レベル。
- [自宅場所]:エンド ユーザーの自宅所在地。
- [勤務地]:エンド ユーザーの勤務地。
- [追加情報]:インシデントの責任者であるエンド ユーザーに関連付けられているユーザー属性が表示されます。追加のユーザー属性を表示するには、以下の手順を実行します。
- このフィールドに提供されたリンクをクリックします。[追加情報]ウィンドウが表示されます。
[追加情報]ウィンドウでは、エンド ユーザー属性、マネージャー属性、アドレスなど、インシデントに関連付けられたデータを表示できます。難読化の対象にユーザー属性を選択した場合、これらの難読化された属性は、このウィンドウに複数のアスタリスク付きで表示されます。
追加情報は、インシデント生成時に選択したプライマリー ユーザー データ ソース(CSVまたはSCIM)からフェッチされます。
たとえば、インシデントの生成中にプライマリー ユーザー データ ソースとして[CSV]を選択した場合、[追加情報]ウィンドウには、インポートされたCSVファイルから取得されたユーザー属性が表示されます。詳細は、アカウント設定の管理を参照してください。
インシデントについて表示される追加情報は、プライマリー ユーザー データ ソースを変更しても変わりません。プライマリー ユーザー データ ソース設定の変更は、新しいインシデントにのみ影響します。
ユーザー データの難読化についての詳細は、アカウント設定の管理および管理者の割り当ての管理を参照してください。
- ポリシー:
- [ルール]:エンド ユーザーが違反したDLPルール(例:Block-HIPAA)。
- [エンジン]:インシデントに関連付けられているDLPエンジン。
- [一致数を持つ辞書]:インシデントに関連付けられているDLP辞書。エンド ユーザーのトラフィックが特定の辞書に違反した回数は、括弧内に表示されます(例:医療情報[2])。
ポリシー フィールドは、ワークフロー自動化Admin Portalの[Zscaler DLP統合]ページまたは[Zscaler DLP Azure統合]ページで[ポリシー詳細を非表示ーマネージャー/承認者]のフィールドが選択されていない場合にのみ利用できます。詳細は、Amazon Web Servicesを使用したDLPアプリケーション統合の構成およびAzureを使用したDLPアプリケーション統合の構成を参照してください。
- コンテンツ:
- ファイル名:ファイルの名前です。
- ファイルの種類:ファイルの種類または拡張子。
- [ファイルMD5]:ファイルの32文字のMD5ハッシュ。
- [ファイル サイズ]:ファイルのサイズ(バイト単位)。
- ユーザー アクティビティー:
- [アクティビティー タイプ]:ユーザーが実行し、インシデントの原因となったアクティビティーのタイプ。
- [チャネル]:インシデントを引き起こした際にユーザーが使用していたチャネルのタイプ(ネットワーク ドライブ転送やリモート ドライブ転送など)。
- [送信元]:インシデントの送信元。
- [宛先]:インシデントの宛先。
- [ソースの種類]:インシデントのソースの種類。
- [宛先タイプ]:インシデント用の宛先タイプ(リムーバブル ストレージ デバイスなど)。
- [送信元のロケーション]:インシデントの送信元ロケーション。
- [宛先ロケーション]:インシデントの宛先ロケーション。
- [ZDPモード]:インシデントのZscalerデータ保護(ZDP)モード。
- [期待されるアクション]:インシデントに対し、ZDPモードによって期待されるアクション。
- [アクションを確認]:インシデント作成の確認ダイアログボックスでプロンプトされたときにユーザーがとったアクション。
- [正当性を確認]:インシデント作成中にユーザーが提供した正当性。
- [追加情報]:インシデントに関する追加情報または注記。
次のイメージは、エンドポイント インシデントの違反の詳細セクションの例です。違反の詳細セクションに表示される情報は、インシデントのタイプに応じて異なります。
閉じる - 送信元DLPタイプのメールのインシデント
- [名前]:インシデントの責任者であるエンド ユーザーの名前。難読化の対象にユーザー名属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。ユーザー データの難読化についての詳細は、アカウント設定の管理および管理者の割り当ての管理を参照してください。
- [メールの件名]:メールの件名。
- [アプリケーション名]:メールの作成に使用されたアプリケーションの名前。
- [勤務地]:エンド ユーザーの勤務地。
- [追加情報]:インシデントの責任者であるエンド ユーザーに関連付けられているユーザー属性が表示されます。追加のユーザー属性を表示するには、以下の手順を実行します。
- このフィールドに提供されたリンクをクリックします。[追加情報]ウィンドウが表示されます。
[追加情報]ウィンドウでは、エンド ユーザー属性、マネージャー属性、アドレスなど、インシデントに関連付けられたデータを表示できます。難読化の対象にユーザー属性を選択した場合、これらの難読化された属性は、このウィンドウに複数のアスタリスク付きで表示されます。
追加情報は、インシデント生成時に選択したプライマリー ユーザー データ ソース(CSVまたはSCIM)からフェッチされます。
たとえば、インシデントの生成中にプライマリー ユーザー データ ソースとして[CSV]を選択した場合、[追加情報]ウィンドウには、インポートされたCSVファイルから取得されたユーザー属性が表示されます。詳細は、アカウント設定の管理を参照してください。
インシデントについて表示される追加情報は、プライマリー ユーザー データ ソースを変更しても変わりません。プライマリー ユーザー データ ソース設定の変更は、新しいインシデントにのみ影響します。
次の画像は、メール インシデントの違反の詳細セクションの例です。違反の詳細セクションに表示される情報は、インシデントのタイプに応じて異なります。
閉じる
- 送信元DLPタイプ インラインのインシデント
- 署名付きリンクを生成する
このフィールドには、インシデントの署名付きリンクと、署名付きリンクの有効期限の日時が表示されます。これにより、次のことが可能になります。
- 署名付きリンクをクリックして、有効期限前にインシデントをトリガーした実際のデータをダウンロードします。
- [コピー]アイコンをクリックして、参照用のリンクをコピーします。
このフィールドにより、ワークフロー自動化Admin Portalの[Zscaler DLP統合]ページまたは[Zscaler DLP Azure統合]ページで[エビデンス データを非表示ーマネージャー/承認者]のフィールドが選択されていない場合にのみインシデント用の実際のデータを自動的にダウンロードできます。それ以外の場合、実際のデータを表示するには、エビデンス リンクをコピーし、Amazon Web Services (AWS)またはAzureにアクセスしてログインし、その環境にリンクを貼り付けます。
閉じる - トリガー データの表示
このフィールドには、インシデントをトリガーしたデータが表示されます。トリガー データのプレフィックスとサフィックスが、トリガー データ自体とともに表示されます。実際のトリガー データ部分が強調表示されます。インシデントに関連付けられているDLP辞書、DLPルール、DLPエンジン、およびDLPポリシーに違反した正確なデータを表示できます。
このフィールドは、ワークフロー自動化Admin Portalの[Zscaler DLP統合]ページまたは[Zscaler DLP Azure統合]ページで[トリガー データを非表示ーマネージャー/承認者]のフィールドが選択されていない場合にのみ利用できます。
閉じる - ポリシー
このセクションは、送信元DLPタイプが[メール]のインシデントでのみ利用できます。その他のタイプのインシデントの場合、インシデントのポリシー情報は[違反の詳細]セクションに表示されます。
ポリシーのセクションでは、次の情報を確認できます。
- [受取人のメール アドレス]:インシデントを受信した受取人のメール アドレス。難読化の対象に受取人のメール アドレス属性を選択した場合、このフィールドには複数のアスタリスクが表示されます。ユーザー データの難読化についての詳細は、アカウント設定の管理および管理者の割り当ての管理を参照してください。
- [ルール]:エンド ユーザーが違反したDLPルール。
- [その他の一致したルール]:インシデントの原因となったプライマリーDLPルールに加えて、インシデントが違反したその他のルール。
- 通知レスポンス履歴
通知レスポンス履歴テーブルには、発信元ユーザーとユーザーのマネージャーまたは承認者にそれぞれ送信されたインシデントのエンド ユーザー通知と権限昇格の詳細なログが表示されます。
このテーブルには、次の情報が表示されます。
- [ユーザー]:管理者がインシデントの詳細を送信する相手。難読化の対象にユーザーのメール アドレス属性またはマネージャのメール アドレス属性を選択した場合、マネージャーまたはユーザーのこのフィールドに複数のアスタリスクが表示されます。ユーザー データの難読化についての詳細は、アカウント設定の管理および管理者の割り当ての管理を参照してください。
- [ロール]:ユーザーのロール。ロールには、[発信元ユーザー]、[マネージャー]または[承認者]があります。
- [最初の通知日]:最初の通知がユーザーに送信された日時。
- [応答日]:ユーザーが通知に応答した日時。
- [ユーザーの応答]:ユーザーから受け取った実際の応答。
調査の完了
インシデントの詳細を確認した後、インシデント ページの最後に調査を完了して、インシデントの次のステップを承認または提案する必要がある場合があります。
回答するには、次の調査に記入し、[送信]をクリックします。
- [正当化のタイプ]:インシデントの正当化のタイプを選択します。正当化のタイプは、[誤検知]、[マネージャー承認済み]、[その他]で
- [正当化の理由]:インシデントの正当化の理由を詳細に入力しますー受諾するか次のステップを提案する。
レスポンスは、追加精査のためにインシデントを調査している組織の管理者に送信されます。