Exécuter le flux du playbook automatisé de programme malveillant

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • Utilisez ce flux pour automatiser les tâches du playbook afin d’analyser et de résoudre les attaques de programmes malveillants contre votre organisation.

    Avant de commencer

    • Rôle requis : sn_si.admin, flow_designer et action_designer
    • Installez et configurez les intégrations suivantes avec les informations d’identification correctes :
      • Palo Alto Networks WildFire pour les opérations de sécurité
      • Recherche de perception (Splunk)
      • Demandes de blocage
      • Recherche de menace
      • Enrichir les observables

      Vérifiez que ces intégrations fonctionnent correctement avant d’activer le modèle Playbook Incident de sécurité - Programme malveillant automatisé.

    • Application Security Operations Palo Alto Networks Wildfire : pour accéder au flux automatisé du playbook de logiciels malveillants, vous devez installer le spoke Security Operations et l’application Security Operations Palo Alto Networks - WildFire à partir du ServiceNow Store. Si l’application Security Operations Palo Alto Networks Wildfire n’est pas installée, vous verrez une erreur « Workflow sur l’action numéro 15.4.1 introuvable » comme indiqué ci-dessous :

      Message d’erreur de l’application Palo Alto Networks Wildfire

      Si vous ne souhaitez pas installer cette application, supprimez les étapes 15.2, 15.3 et 15.4 du flux du playbook automatisé de logiciels malveillants.

    • Assurez-vous que les conditions suivantes ont été remplies :
      • L’incident de sécurité a été affecté à un analyste de sécurité qui appartient au groupe d’approbation approprié.
      • L’analyste de sécurité chargé de l’incident doit disposer d’une adresse e-mail valide.
      • Les éléments de configuration et les observables nécessaires ont été ajoutés à l’incident de sécurité.
    • Pour l’étape 21 (Demander l’approbation), remplacez le groupe d’Affectation d’incident de sécurité par votre groupe préféré.
    • L’étape 21 du flux est une étape d’approbation de tâche obligatoire où une demande d’approbation est envoyée à l’administrateur. Pour approuver la demande, l’administrateur doit accéder à la page Approbations de tâches et définir le champ État sur Approuvé. Si la tâche n’est pas approuvée, le concepteur de flux ne peut pas poursuivre et le processus se termine.

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une activité de code malveillant est détectée sur le réseau, un incident de sécurité est créé et le flux automatisé du playbook de programme malveillant est lancé. Vous pouvez utiliser les tâches définies dans le flux du playbook de programme malveillant automatisé pour trier, analyser, contenir et éradiquer la menace.

    Procédure

    1. Accédez à la Tous > Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations (Opérations de sécurité).
    2. Cliquez sur le lien Modèle VI du Playbook pour les incidents de sécurité - Programmes malveillants automatisés .
    3. Sur la page Flux, cliquez sur l’icône Plus, faites une copie du flux et ouvrez-le pour votre utilisation.
      Vous pouvez maintenant apporter des changements à votre flux, telles que la modification des conditions ou des actions de déclenchement, ou l’ajout et la suppression d’actions.Modèle de playbook de programme malveillant automatisé

      Cela affiche le déclencheur et les étapes qui seront exécutées avec le flux. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.

    4. Cliquez sur l’icône Déclencher .
      Dans la première étape, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions du déclencheur et de la tâche à effectuer lorsque les conditions sont remplies.Flux du playbook automatisé de programme malveillant : déclencheur

      Lorsque la condition définie dans le flux (la catégorie est une activité de code malveillant) est remplie dans l’enregistrement d’incident, les tâches du flux d’hameçonnage automatisé commencent à s’exécuter séquentiellement. Vous pouvez modifier le déclencheur, ajouter des annotations, ajouter ou supprimer des conditions, etc.

    5. La première étape du flux consiste à mettre à jour l’enregistrement d’incident de sécurité.
      Flux du playbook automatisé de logiciels malveillants : étape 1

      Cliquez sur le lien et cliquez sur l’icône d’annotation Icône d’annotation pour ajouter une note à l’analyste de sécurité indiquant qu’il y a eu une activité de code malveillant et que le flux automatisé du playbook de réponse aux programmes malveillants a commencé à s’exécuter.

    6. Passez à l’étape 2 du flux et cliquez sur le lien Créer une tâche .

      Dans cette étape, une tâche de réponse automatisée est créée pour vérifier si tous les observables nécessaires ont été capturés et si l’enquête peut commencer.

      Flux du playbook automatisé de programme malveillant : étape 2

    7. Si le type de résultat est Non, cela indique qu’aucun observable et CI n’est disponible pour initier l’enquête.
      Mettez à jour l’enregistrement d’incident de sécurité pour indiquer que le playbook ne peut pas continuer.
    8. Si le type de résultat est Oui, le flux secondaire Définir la gravité de l’incident affecte automatiquement la gravité correcte à l’incident de sécurité.
    9. Lors de l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour.
    10. À l’étape suivante, tous les observables impliqués dans l’incident ou dans une catégorie sélectionnée sont collectés pour effectuer des actions automatisées supplémentaires dans les étapes suivantes du playbook.
    11. À l’étape suivante, une tâche de réponse automatisée est créée.
      Cette tâche capture le début du processus d’obtention de la réputation de tous les observables et d’enrichissement avec des intégrations configurées.
    12. À l’étape 8, deux flux secondaires sont appelés :
      • Exécuter des recherches de menace pour les observables : ce flux secondaire est utilisé pour obtenir la réputation de tous les observables à l’aide d’implémentations de recherche de menace.
      • Enrichir les observables : ce flux secondaire permet d’effectuer l’enrichissement des observables avec des implémentations configurées.

      Flux du playbook automatisé de programme malveillant : étape 8

      Notez les icônes de cette tâche. L’icône Opérations parallèles L’icône Opérations parallèles indique que les deux tâches seront effectuées en parallèle et l’icône de flux secondaire L’icône de flux secondaire indique que la tâche en cours d’exécution est un flux secondaire, comme indiqué ci-dessous :

      Flux du playbook automatisé de programme malveillant : étape 8.1.1

      Notez le chiffre 5 dans le champ des observables. Cela indique que la recherche de menace sera exécutée sur les observables récupérés à l’étape 5. Ce flux secondaire appelle à son tour les workflows et actions existants.

    13. À l’étape suivante, l’action Exécuter la recherche d’enregistrements est exécutée.
      Cette action est utilisée pour rechercher les enregistrements de contexte de workflow dans lesquels les workflows parents peuvent être l’un des suivants.
      • Contexte de workflow abstrait de la recherche de menace
      • Contexte de workflow abstrait d'enrichissement d'observable
    14. À l’étape suivante, les résultats de réputation et d’enrichissement sont examinés tous les 8 enregistrements.
    15. Poursuivez l’examen des étapes suivantes :
      1. Mettre à jour l’enregistrement d’incident de sécurité : met à jour l’enregistrement d’incident de sécurité pour indiquer que les activités de recherche et d’enrichissement de la réputation sont terminées.
      2. Obtenir les observables à partir de la tâche : récupère tous les observables malveillants associés à l’incident de sécurité.
      3. Créer une tâche : vérifie et confirme si les exécutions de triage automatisées ont réussi.
    16. S’il existe des observables qui ont été marqués comme malveillants :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publiez une note de travail indiquant qu’une menace a été détectée.
      2. Créer une requête d’entrée à partir d’observables : si plus de dix observables ont été marqués comme malveillants, le flux secondaire Recherche de perception sur les observables (sur Splunk ou Carbon Black) est exécuté.
    17. Si les observables ne sont pas marqués comme malveillants, le flux continue comme suit :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publier une note de travail indiquant qu’aucune menace n’a été détectée
      2. Obtenir les observables à partir de la tâche : identifie tous les ID de hachage SHA256 de l’incident.
      3. Rechercher des enregistrements d’observables : recherche des enregistrements qui répondent à ce critère.
    18. Poursuivez l’examen des étapes suivantes :
      1. Pour chaque observable malveillant, le workflow Security Operations Palo Alto Networks - Get Wildfire Data Enrichment est exécuté.
      2. Examine les résultats de l’enquête pour voir s’ils sont satisfaisants.
        Une tâche de réponse est créée pour vérifier si le programme malveillant suspecté est une attaque de rançongiciel. Si oui, le flux secondaire du playbook de rançongiciel est exécuté.
      3. À l’étape suivante, un e-mail est envoyé avec un résumé de l’analyse et une demande d’approbation pour lancer les procédures de confinement.
      4. Une tâche est créée pour capturer les détails de l’approbation demandée.
      5. L’étape suivante consiste à mettre à jour l’enregistrement de l’incident de sécurité.
        Publiez une note de travail informant l’analyste de sécurité que la demande d’approbation a été effectuée.
      6. Demande l’approbation de maîtrise des attaques de programme malveillant à votre gestionnaire SOC.
        Étape 21
        Remarque :
        Lorsqu’une demande d’approbation est générée par le flux, la note de travail est mise à jour avec le message suivant :
        Une demande d’approbation a été faite pour <ID de tâche> la poursuite de l’imbrication. Pour approuver cette tâche, en tant que gestionnaire SOC, procédez manuellement comme suit :
        • Accédez à la page Approbations des tâches.
        • Vous verrez la liste des approbations. Cliquez sur l'<ID de la tâche> à approuver.
        • Changez l’état sur Approuver et enregistrez l'<ID de tâche> mis à jour.
      7. Lors de l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour pour suivre le statut d’approbation.
      8. Ensuite, une tâche est créée pour lancer les procédures de confinement.
      9. Le flux secondaire Exécuter le flux secondaire Créer des demandes de bloc pour les observables malveillants est exécuté et un enregistrement d’incident est créé avec une demande de reconstruction de l’appareil infecté et de ses actifs.
      10. Ensuite, une tâche est créée pour exécuter une recherche de perception afin de confirmer si l’environnement est sécurisé.
        La recherche d’observations est répétée jusqu’à ce qu’aucune observation ne soit trouvée.
      11. Ensuite, une tâche est créée pour indiquer que l’enregistrement d’incident de sécurité est prêt à être examiné.
      12. Enfin, l’enregistrement est mis à jour et passe à l’étape Révision.

    Que faire ensuite

    Vous pouvez cliquer sur Test pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, cliquez sur Activer pour activer le flux afin qu’il puisse être exécuté.

    Cliquez sur Exécutions pour afficher les détails d’exécution du flux.

    Flux du playbook automatisé de programme malveillant : exécution