自動 Response ルール
自動化された脅威 response の設定
自動 response ルールを使用すると、脅威検出時にプリセットされた action を自動実行し、対応効率を向上させることができます。
ルールの作成
- 設定 > Auto Response に移動
- Create Rule をクリック
- Trigger 条件と response action を設定
Trigger Conditions
By Severity
| Condition | 説明 |
|---|---|
severity: critical | 類似度 > 90% |
severity: warning | 類似度 70–90% |
severity: * | すべての脅威 |
By Source
- CT Log scan で発見
- DNS scan で発見
- Google Search で発見
- Beacon trigger
Response Actions
| Action | 説明 |
|---|---|
send_alert | メール / Slack / Webhook 通知をトリガー |
auto_screenshot | フィッシングページのスクリーンショットを取得 |
request_takedown | ホスティング事業者にテイクダウンを自動申請 |
data_poisoning | Data poisoning タスクを開始 |
webhook | カスタム Webhook を呼び出し |
Rule Examples
Critical 脅威の自動 response
name: Critical Threat Auto Response
trigger:
- severity: critical
actions:
- send_alert (email + Slack)
- auto_screenshot
- request_takedownBeacon trigger response
name: Beacon Trigger Response
trigger:
- source: beacon
actions:
- send_alert (webhook)
- log_visitor_infoPriority
複数のルールが同時にマッチした場合:
- 作成日時順で、先に作成されたルールが優先
- 同一脅威に対して同じ action は重複実行されない
- ルールを
run_onceまたはcontinuousに設定可能
ベストプラクティス
- 段階的 Response — severity に応じて異なる強度の response を設定
- 過剰な対応を避ける — low severity の脅威に aggressive な response を設定しない
- テスト検証 — 新しいルールはまず staging 環境で検証
- 定期的な最適化 — 実際の効果に基づいてルールを調整
自動テイクダウンと data poisoning 機能は Pro プラン以上でのみ利用可能です。