スクリプトの構成
スクリプトを構成するには、インシデント所有者を追加し、オプションで 1 つ以上のホワイトリストを定義する必要があります。
新規インシデントには、所有者、つまり E メール・アドレスまたはグループ名によって識別される個人が必要です。 提供されたスクリプトでは、この値はブランクのままです。 Resilient ユーザーを所有者として追加するようにスクリプトを編集するに、スクリプトの行 8 を見つけて編集します。 例えば、以下のように、L1@businessname.com を追加します。
# The new incident owner - email address of a user or name of a group and cannot be blank.
# Change this value to reflect who will be the owner of the incident before running the script.
newIncidentOwner = "L1@businessname.com"
ホワイトリストは、疑わしいアーティファクトにならない信頼できるデータ項目のリストです。例えば、独自の E メール・サーバーの IP アドレスなどです。 スクリプトで使用されるホワイトリストには、次の表に示すように IP アドレスと URL ドメインの 2 つのカテゴリーがあります。 これらのホワイトリストは、スクリプト内のデータを変更することによって構成されます。
| 変数名 | 行番号 | 目的 |
|---|---|---|
ipV4WhiteList |
11 | IP v4 ホワイトリスト |
ipV6WhiteList |
30 | IP v6 ホワイトリスト |
domainWhiteList |
51 | URL ドメイン・ホワイトリスト |
最初は、ホワイトリストは、コメント化されたエントリーで構成されています。コメント化されたエントリーは、考慮事項から除外するデータの例として機能します。 エントリーのコメントを外し、文法的に正しいリストを作成しない限り、あるいは独自のエントリーを追加しない限り、ホワイトリストは効果がありません。
IP アドレス・ホワイトリストは、別個の IPv4 リストと IPv6 リストに分割されます。 これらのリストは、E メール・メッセージの本文でのパターン・マッチングによって取得された IP アドレスに適用されます。 IP アドレスがホワイトリストに含まれている場合、その IP アドレスはインシデントにアーティファクトとして追加されません。
IP ホワイトリスト・エントリーには、CIDR (クラスレス・ドメイン間ルーティング) と IPRange の 2 つのカテゴリーがあります。 例えば、IPV4 では、IBM は
9 クラス A ネットワークを所有します。 IP 範囲 (12.0.0.1 から 12.5.5.5 など) もホワイトリストに登録できます。 これらの基準をホワイトリストに追加するには、ipV4WhiteList に以下を追加します。 "9.0.0.0/8",
"12.0.0.1-12.5.5.5"
13.13.13.13 などの明示的な IP アドレスをホワイトリストに登録することもできます。 この場合、次のように指定します。
"13.13.13.13"IP v6 ホワイトリストも同様に機能します。 例えば、V6 CIDR をホワイトリストに登録するには、「aaaa::/16」を追加します。 以下の例は、これらの変更を IPV4 ホワイトリストおよび IPV6 ホワイトリストに追加する方法を示しています。
# Whitelist for IP V4 addresses
ipV4WhiteList = WhiteList([
"9.0.0.0/8",
"12.0.0.1-12.5.5.5",
"13.13.13.13"
])
# Whitelist for IP V6 addresses
ipV6WhiteList = WhiteList([
"aaaa::/16"
])ドメイン・ホワイトリストは、E メールの本文にある URL に適用されます。 ホワイトリスト・ドメインが潜在的な URL アーティファクトでディスカバーされた場合、そのドメインはインシデントに追加されません。 ドメインは、mail.businessname.com などのように明示的に追加することも、*.otherbusinessname.com などのワイルドカードを使用して追加することもできます。 まず、以下の行を見つけます。
この行を、以下のように変更します。# Domain whitelist
domainWhiteList = WhiteList([
#"*.ibm.com"
])
# Domain whitelist
domainWhiteList = WhiteList([
"mail.businessname.com",
"*.otherbusinessname.com"
])