Playbook de incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura
  • Invoque o fluxo do playbook de incidente de segurança automaticamente ou manualmente.

    Um playbook ficará visível somente se pelo menos um playbook estiver associado a um incidente de segurança. O componente do playbook funciona somente para os processos criados pelo Designer de automação de processos (PAD) e não para os fluxos criados pelo designer de fluxo. Para os fluxos habilitados pelo designer de fluxo existentes, ele continuará funcionando e as atividades continuarão a ser renderizadas como tarefas de resposta.

    Há duas maneiras de associar o playbook ao incidente de segurança:
    • Invocar playbook automaticamente
    • Adicionar playbook manualmente

    Invoque playbook automaticamente

    Para que um playbook seja invocado automaticamente, um processo precisa ser definido usando Designer de automação de processos (PAD) e quando a condição do gatilho é atendida, a guia do playbook é renderizada automaticamente com as atividades do playbook que estão sendo exibidas.

    Adicione playbook manualmente

    Para que um playbook seja invocado manualmente, navegue até o menu suspenso Ação de IU do formulário e selecione Adicionar playbook . Para obter mais informações, consulte, Adicionar Playbook
    Nota:
    Se já houver um playbook disponível, os novos playbooks adicionados serão executados paralelamente aos playbooks existentes.
    • No playbook, o analista pode filtrar os cartões do playbook por status.
    • O analista pode cancelar um playbook selecionando-o no ícone de elipse.
    • Em cada atividade, o analista poderá executar as ações definidas nos cartões de atividade, como Pular, Marcar como concluído, Cancelar ou Ações de Orquestração, como Enviar para área restrita, Pesquisar e-mails e assim por diante.
    • Cada uma dessas ações é definida na definição de atividade, e o cartão completo visível é personalizável no momento da criação da própria definição de atividade.
    Nota:
    Todas as definições de atividades futuras e as próximas etapas a serem executadas são exibidas com um ícone de cadeado e estão no modo somente leitura para o usuário. O modo de exibição do playbook é controlado por uma configuração conforme explicado abaixo.
    1. Navegar até Tudo > Playbook Experiences.
    2. Na página Experiências do playbook, selecione um SIR Playbook Experience .
      Figura 1. Playbook Experience
      A experiência do Playbook de incidente de segurança
      . Experiência DO Playbook SIR a página é exibida.
      Figura 2. Registro de experiência do playbook
      Editando o registro SIR Playbook Experience
    3. Clique em Configuração registro.
      Registro de configuração do playbook
    4. Na guia Configuração, clique em Configuração do SIR Playbook Experience.
      Figura 3. Configuração do Playbook
      Edite a configuração do playbook
    5. Navegue até Visibilidade de item pendente lista suspensa do campo, selecione a opção desejada e salve o registro. Escolhas das seguintes opções:
      • Oculte atividades pendentes : Selecione esta opção para ocultar as atividades pendentes que você deseja ver na seção playbook do espaço.
        Figura 4. Exemplo de phishing relatado pelo usuário
        Oculte atividades pendentes no playbook Manual de phishing.
      • Mostrar fases e atividades pendentes : Selecione esta opção para mostrar fases e atividades pendentes que você deseja ver na seção playbook do espaço.
        Figura 5. Mostrar atividades e fases pendentes
        Mostrar fases e atividades pendentes no playbook Manual de phishing
      • Oculte atividades e fases pendentes : Selecione esta opção para ocultar atividades e fases pendentes que você gostaria de ver na seção playbook do espaço.
        Figura 6. Ocultar atividades e fases pendentes
        Oculte atividades e fases pendentes no playbook Manual de phishing
    6. Na seção Playbook, use a opção de filtro para filtrar as atividades por status do cartão do Playbook (definição de atividade).
      Figura 7. Status do cartão do Playbook
      Status do cartão do Playbook

    Adicionar Playbook

    Use esta seção para adicionar playbook manualmente.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Espaço do analista de segurança.
    2. Abra um registro de incidentes
    3. Clique em Adicionar playbook .
      Adicione um playbook manualmente
      . Adicionar playbook é exibida.
      Adicionar playbook
    4. Selecione o modelo de playbook.
    5. Clique em Adicionar playbook .
      Uma caixa de diálogo de mensagem de confirmação é exibida para você confirmar.
    6. Clique em Adicione mesmo assim .
      Mensagem de confirmação
    7. . Playbook é adicionado ao lado de Detalhes .
      Mensagem de confirmação do playbook
    8. Clique em Playbook .
      Atividades do playbook
    9. Execute a série de atividades conforme listado para passar para o próximo nível.
      Nota:
      Se um incidente de segurança estiver associado a um playbook, até que o playbook associado seja encerrado ou cancelado, o usuário não poderá associar novamente o mesmo playbook ao mesmo incidente de segurança.