自動 Response ルール
自動化された脅威 response の設定
自動 response ルールを使用すると、脅威検出時にプリセットされた action を自動実行し、対応効率を向上させることができます。
ルールの作成
- 設定 > Auto Response に移動
- Create Rule をクリック
- Trigger 条件と response action を設定
Trigger Conditions
By Severity
| Condition | 説明 |
|---|---|
severity: critical | 類似度 > 90% |
severity: warning | 類似度 70–90% |
severity: * | すべての脅威 |
By Source
- CT Log scan で発見
- DNS scan で発見
- Google Search で発見
- Beacon trigger
Response Actions
| Action | 説明 |
|---|---|
send_alert | メール / Slack / Webhook 通知をトリガー |
auto_screenshot | フィッシングページのスクリーンショットを取得 |
request_takedown | レスポンスケースを作成し、サポート済みチャネルは自動送信、それ以外は公式フォーム導線で管理 |
webhook | カスタム Webhook を呼び出し |
Rule Examples
Critical 脅威の自動 response
yaml
name: Critical Threat Auto Response
trigger:
- severity: critical
actions:
- send_alert (email + Slack)
- auto_screenshot
- request_takedownBeacon trigger response
yaml
name: Beacon Trigger Response
trigger:
- source: beacon
actions:
- send_alert (webhook)
- log_visitor_infoPriority
複数のルールが同時にマッチした場合:
- 作成日時順で、先に作成されたルールが優先
- 同一脅威に対して同じ action は重複実行されない
- ルールを
run_onceまたはcontinuousに設定可能
ベストプラクティス
- 段階的 Response — severity に応じて異なる強度の response を設定
- 過剰な自動化を避ける — low severity の脅威に高負荷な response を設定しない
- テスト検証 — 新しいルールはまず staging 環境で検証
- 定期的な最適化 — 実際の効果に基づいてルールを調整
レスポンス自動化の可用性はプランとチャネルの対応状況に依存します。対応済みチャネルでは自動送信され、それ以外は支援付きワークフローとして管理されます。