Execute o fluxo automatizado do playbook de malware

Zurich Security Management

Release

zurich

ft:locale

pt-BR

ft:publication_title

Zurich Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

Execute o fluxo automatizado do playbook de malware

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

7 min. de leitura

Use este fluxo para automatizar tarefas no playbook para analisar e resolver ataques de malware contra sua organização.

Antes de Iniciar

Função necessária: sn_si.admin, flow_designer e action_designer
Instale e configure as seguintes integrações com as credenciais corretas:
- Palo Alto Networks incêndio florestal para Operações de segurança
- Pesquisa de vistas (Splunk)
- Solicitações de bloqueio
- Pesquisa de ameaças
- Aprimorar observáveis
Verifique se essas integrações estão funcionando corretamente antes de você ativar Incidente de segurança - Modelo Playbook de malware automatizado.
Aplicativo Wildfire da Palo Alto Networks: Para acessar o fluxo do playbook automatizado de malware, você deve instalar o aplicativo Security Operations Spoke e Security Operations Palo Alto Networks - Wildfire do ServiceNow Store. Se o aplicativo Security Operations Palo Alto Networks Wildfire não estiver instalado, você verá um erro "Fluxo de trabalho na ação número 15.4.1 não encontrado", conforme mostrado abaixo:

Se você não quiser instalar este aplicativo, exclua as etapas 15,2, 15,3 e 15,4 do fluxo do playbook de malware automatizado.
Certifique-se de que as seguintes condições foram atendidas:
- O incidente de segurança foi atribuído a um analista de segurança que pertence ao grupo de aprovação apropriado.
- O analista de segurança que lida com o incidente deve ter um endereço de e-mail válido.
- Os itens de configuração e observáveis necessários foram adicionados ao incidente de segurança.
Para Etapa 21 (Solicitar aprovação) , Mude o Grupo de Atribuição de incidente de segurança ao seu grupo preferencial.
A etapa 21 do fluxo é uma etapa de aprovação de tarefa obrigatória em que uma solicitação de aprovação é enviada ao administrador. Para aprovar a solicitação, o administrador deve navegar até a página Aprovações de tarefa e definir o campo Estado como Aprovado . Se a tarefa não for aprovada, o designer de fluxo não poderá prosseguir e o processo será encerrado.

Por Que e Quando Desempenhar Esta Tarefa

Quando uma atividade de código mal-intencionado é detectada na rede, um incidente de segurança é criado e o fluxo do playbook de malware automatizado é iniciado. Você pode usar as tarefas definidas no fluxo do playbook automatizado de malware para fazer a triagem, analisar, conter e erradicar a ameaça.

Procedimento

Navegar até Tudo > Flow Designer > Designer Para exibir os fluxos disponíveis com o spoke de Operações de segurança.
Clique em Incidente de segurança - Modelo de Playbook de malware automatizado VI link.
Na página Fluxo, clique no ícone Mais , faça uma cópia do fluxo e abra-o para seu uso.
Agora você pode fazer mudanças em seu fluxo, como modificar condições ou ações do gatilho ou adicionar e remover ações.
Mostra o gatilho e as etapas que serão executadas com o fluxo. O painel direito mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.
Clique em Gatilho ícone.
Na primeira etapa, você define ou define o gatilho para o fluxo. Especifique as condições para o gatilho e a tarefa a serem executados quando as condições forem atendidas.
Quando a condição definida no fluxo (Categoria é atividade Código mal-intencionado) é atendida no registro do incidente, as tarefas no fluxo de phishing automatizado começam a ser executadas sequencialmente. Você pode modificar o gatilho, adicionar anotações, adicionar ou excluir condições e assim por diante.
A primeira etapa no fluxo é Atualizar registro de incidente de segurança .

Clique no link e clique no ícone de anotação para adicionar uma anotação ao analista de segurança indicando que houve alguma atividade de código mal-intencionado e que o fluxo do playbook de resposta automatizada de malware começou a ser executado.
Prossiga com a etapa 2 no fluxo e clique em Criar tarefa link.

Nesta etapa, uma tarefa de resposta automatizada é criada para verificar se todos os observáveis necessários foram capturados e se a investigação pode começar.
Se o tipo de resultado for Não Indica que não há observáveis e ICs disponíveis para iniciar a investigação.
Atualize o registro do incidente de segurança para indicar que o playbook não pode prosseguir.
Se o tipo de resultado for Sim , O subfluxo Definir severidade do incidente atribui automaticamente a severidade correta ao incidente de segurança.
Na próxima etapa, o registro de incidente de segurança é atualizado.
Na próxima etapa, todos os observáveis envolvidos no incidente ou em uma categoria selecionada são coletados para executar ações automatizadas adicionais nas etapas subsequentes do playbook.
Na próxima etapa, uma tarefa de resposta automatizada é criada.
Esta tarefa captura o início do processo de obter a reputação de todos os observáveis e executar o aprimoramento com integrações configuradas.
Na etapa 8, dois subfluxos são chamados:
- Executar pesquisas de ameaças para observáveis: Este subfluxo é usado para obter a reputação de todos os observáveis usando implementações de pesquisa de ameaças.
- Enriquecer observáveis: Este subfluxo é usado para realizar o aprimoramento de observáveis com implementações configuradas.
Observe os ícones desta tarefa. Ícone de operações paralelas indica que as tarefas serão realizadas em paralelo e o ícone de subfluxo indica que a tarefa que está sendo executada é um subfluxo, conforme mostrado abaixo:

Observe o número 5 no campo Observáveis. Isso indica que a pesquisa de ameaças será executada em observáveis recuperados na etapa 5. Este subfluxo, por sua vez, chama fluxos de trabalho e ações existentes.
Na próxima etapa, a ação Executar a pesquisa de registros é executada.
Esta ação é usada para pesquisar registros de contexto de fluxo de trabalho em que os fluxos de trabalho primários podem ser um dos seguintes.
- Contexto de fluxo de trabalho abstrato de Pesquisa de ameaças
- Contexto de Fluxo de Trabalho Abstrato de Aprimoramento de Observável
Na próxima etapa, os resultados de reputação e aprimoramento são revisados para cada 8 registros.
Continue revisando as próximas etapas:
1. Atualizar registro de incidente de segurança: Atualiza o registro de incidente de segurança para indicar que as atividades de pesquisa e aprimoramento de reputação foram concluídas.
2. Obter observáveis da tarefa: Recupera todos os observáveis mal-intencionados associados ao incidente de segurança.
3. Criar tarefa: Verifica e confirma se as execuções de triagem automatizada foram bem-sucedidas.
Se houver observáveis que foram sinalizados como mal-intencionados:
1. Atualizar registro de incidente de segurança: Publique uma anotação de trabalho indicando que uma ameaça foi detectada.
2. Criar consulta de entrada a partir de observáveis: Se mais de dez observáveis tiverem sido sinalizados como mal-intencionados, o subfluxo Pesquisa de vistas em observáveis (no Splunk ou Carbon Black) será executado.
Se os observáveis não forem sinalizados como mal-intencionados, o fluxo continuará com as seguintes etapas:
1. Atualizar registro de incidente de segurança: Publique uma anotação de trabalho indicando que nenhuma ameaça foi detectada
2. Obter observáveis da tarefa: Identifica todos os IDs de hash SHA256 do incidente.
3. Pesquisar registros observáveis: Pesquisa registros que atendem a estes critérios.
Continue revisando as próximas etapas:
1. Para cada observável mal-intencionado, o. Palo Alto Networks de operações de segurança - Obtenha aprimoramento de dados Wildfire o fluxo de trabalho é executado.
2. Revisa os resultados da investigação para ver se eles são satisfatórios.
  Uma tarefa de resposta é criada para verificar se o malware suspeito é um ataque de ransomware. Em caso afirmativo, o subfluxo do Playbook do ransomware será executado.
3. Na próxima etapa, um e-mail é enviado com um resumo da análise e uma solicitação de aprovação para iniciar os procedimentos de contenção.
4. Uma tarefa é criada para capturar detalhes da aprovação solicitada.
5. A próxima etapa é atualizar o registro de incidente de segurança.
  Publique uma anotação de trabalho informando ao analista de segurança que a solicitação de aprovação foi feita.
6. Solicita aprovação para conter os ataques de malware do gerente do SOC.
  Nota:
  Quando uma solicitação de aprovação for gerada pelo fluxo, a anotação de trabalho será atualizada com a seguinte mensagem:
  Uma solicitação de aprovação foi feita para o <task id> prosseguir com contenção. Para aprovar esta tarefa, como gerente de SOC, siga estas etapas manualmente:
  
  Navegue até a página Aprovações de tarefa.
  
  Você verá a lista de aprovações. Clique no <task id> que será aprovado.
  
  Estado para Aprovar E Salve o <task id> atualizado.
7. Na próxima etapa, o registro de incidente de segurança é atualizado para rastrear o status de aprovação.
8. Em seguida, uma tarefa é criada para iniciar procedimentos de contenção.
9. O subfluxo Executar solicitações de bloco para observáveis mal-intencionados é executado e um registro de incidente é criado com uma solicitação para recriar o dispositivo infectado e seus ativos.
10. Em seguida, uma tarefa é criada para executar a pesquisa de vistas para confirmar se o ambiente é seguro.
  A pesquisa de avistamentos é repetida até que nenhuma vista seja encontrada.
11. Em seguida, uma tarefa é criada para indicar que o registro de incidente de segurança está pronto para revisão.
12. Por fim, o registro é atualizado e movido para a fase Revisão.

O que Fazer Depois

Você pode clicar em Teste simular as ações no fluxo antes que ele seja publicado. Depois de testar o fluxo, clique em Ativar para ativar o fluxo para que ele possa ser executado.

Clique em Execuções para exibir os detalhes de execução do fluxo.

Fluxo do playbook de malware automatizado: Execução