DOCS
インテグレーションガイド / Demisto
本記事は米国PagerDuty社のサイトで公開されているインテグレーションガイドをそのまま日本語に翻訳したものです。日本語環境での動作を保証するわけではありません。原文はこちらを参照してください。
Demistoは、セキュリティインシデントの技術的側面と非技術的側面の両方を管理するセキュリティ運用/インシデント対応プラットフォームを提供します。具体的には、次の機能を提供します。
- 脅威インテリジェンス、SIEM、ファ5イアウォール、EDR、サンドボックス、フォレンジックツール、メッセージングシステムなどとの統合によるデータの豊富化、自動トリアージ、自動応答を提供する Automation
- ステークホルダーがインシデントや調査を協力して行うVirtual War Room
- すべてのインシデントと調査のAuto-documentation
- 危機の最中でも確実にプロセスが実行され、重要なステップが見逃されないことを保証するPlaybooks
- 重複および関連する調査の自動検出を提供する強力なSearch機能
- 記録と 証拠の改ざん防止をするEvidence
PagerDuty側のオンコールチームメンバーと統合することで、手動と自動の両方で調査を依頼することができます。調査担当者は、現在誰がオンコール中で、次に誰がオンコールになるかを確認することができ、さらにインシデントやイベントを作成することもできます。
この統合には、管理者またはアカウント所有者のみが作成できるAPIアクセスキーが必要です。
PagerDutyでの設定
- Configuration メニューからServices を選択します。
- Servicesページで:
インテグレーションのために新しいサービスを作成する場合は、 +Add New Service をクリックします。
既存のサービスにインテグレーションを追加する場合は、統合を追加するサービスの 名前をクリックします。 その後、Integrations タブをクリックし、 + New Integration ボタンをクリックします。
- Integration Type メニューから追加したいアプリを選択し、Integration Nameを入力してください。 インテグレーションのために新しいサービスを作成する場合は、General Settingsで新しいサービスのNameを入力します。 次に、Incident Settingsで、新しいサービスの Escalation Policy (エスカレーションポリシー)、Notification Urgency (通知の緊急度)、Incident Behavior(インシデントの動作)を指定します。
- Add Service またはAdd Integration ボタンをクリックして、新しいインテグレーションを保存します。 すると、サービスのIntegrationsページにリダイレクトされます。
- 新しいインテグレーションのIntegration Keyをコピーします。
- Configuration メニューから、 API Accessを選択します 。
- APIアクセスページで、+Create New API Key ボタンをクリックします。
- ポップアップするダイアログで、キーのDescriptionを入力し、API Versionを選択するよう求められます。 また、キーをRead-Onlyとして作成するオプションもあります。このボックスをチェックしないままにすると、フルアクセスキーが作成されます。
- オプションを入力したら、Create Key をクリックします 。
- Create Keyをクリックすると、キーを表示するダイアログが表示され、前の手順で記入したオプションが確認されます。 このステップの後にキーにアクセスできな いので、今すぐ必要なアプリケーションにこのキーをコピーしてください。 以前に作成したキーを失って再びアクセスする必要がある場合は、キーを削除して新しいキーを作成する必要があります。 キーを正常にコピーしたら、 Closeをクリックします。
- 作成されると、キーがAPIアクセスページのキーのリストに表示され、バージョン管 理が表示されます。
Demistoでの設定
- Settingsに移動し、PagerDuty の横にあるAdd Server をクリックします。
- 次に、認証の詳細を入力し、 完了したらDoneをクリックする必要があります。
- Name: Demisto側でPagerDutyを識別するために使用される名前。
- API Key: 先ほど作成したPagerDuty APIアクセスキー。
- Sub domain: pagerdutyのサブドメイン(https:// < subdomain > .pagerduty.com)
- Service Key: 先ほど作成したPagerDutyのインテグレーションキー。
- Engine: Demistoサーバーがインターネットに直接接続できない場合は、インターネットに接続されたDemistoエンジンを使う必要があります。
- 完了したら、テストや調査に行くことができます。次のコマンドが利用できます:
- !PagerDutyAssignOnCallUser – 最初のオンコールユーザーを調査に割り当てます(調査中のすべてのインシデントはこのオンコールユーザーがオーナーになります)。 これはスクリプトを使用して実行されます。 (オートメーション画面の)スクリプトを編集するか、”query”という名前のスクリプト引数を指定することで、オンコール中のユーザーを変更することができます。
- !PagerDutyAssignOnCallUser query = mike と書くと、オンコールユーザーのmikeが調査に割り当てられます。
- !PagerDutyGetAllSchedules – PagerDutyからすべてのスケジュールを受信します。
- !PagerDutyGetUsersOnCall – 特定の時刻または特定のスケジュールでオンコール中のユーザーの名前と詳細を返します。
- !PagerDutyGetUsersOnCallNow – 現在のオンコール担当者の名前と詳細を返します。
- !PagerDutyIncidents – PagerDutyでインシデントを表示します(全情報、ステータス、時間などをで表示できます。DemistoのCLIのオートコンプリート機能ですべてのオプションを表示できます)
- !pagerDutySubmitEvent – PagerDutyに新しいイベントまたは、イベントを作成します。
- War Roomでは任意の! コマンドを実行するスクリプトを作成することができますし、スクリプトをプレイブックと関連付けることもできます。
これで統合が完了しました! このガイドに関するご質問は [email protected]までご連絡ください。
よくある質問
Demisto Enterpriseに複数のPagerDutyサービスを追加できますか?
はい、Demisto Enterpriseには複数のpagerdutyサービスを追加できます。 これを行うには、Demisto Enterpriseインターフェース内のpagerduty統合に新しいサーバーを追加すればよく、各サーバーが新しいサービスになれます。
PagerDutyのスケジュールからユーザーのオンコールをカスタマイズできますか?
Demistoでスクリプトをカスタマイズし、オンコールの決定方法を選択できます。 デフォルトのスクリプトはjavascriptで書かれています。 Pythonで上で定義したコマンドを使って、スクリプトを編集したり、全く新しいスクリプトを作成したりすることができます。
