Führen Sie den automatisierten Malware-Playbook-Flow aus

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Verwenden Sie diesen Flow, um Aufgaben im Playbook zu automatisieren, um Malware-Angriffe auf Ihre Organisation zu analysieren und zu beheben.

    Vorbereitungen

    • Erforderliche Rolle: sn_si.admin, flow_designer und action_designer
    • Installieren und konfigurieren Sie die folgenden Integrationen mit den richtigen Anmeldeinformationen:
      • Palo Alto Networks WildFire for Security Operations
      • Sichtungssuche (Splunk)
      • Anforderungen blockieren
      • Bedrohungssuche
      • Erkennbare Elemente ergänzen

      Vergewissern Sie sich, dass diese Integrationen ordnungsgemäß funktionieren, bevor Sie Security Incident – Automated Malware Playbook Template aktivieren.

    • Security Operations Palo Alto Networks Wildfire-App: Um auf den automatisierten Malware-Playbook-Flow zuzugreifen, müssen Sie die Spoke von Security Operations und die App Security Operations Palo Alto Networks - WildFire aus dem ServiceNow Storeinstallieren. Wenn die Wildfire-App „Security Operations Palo Alto Networks“ nicht installiert ist, wird der Fehler „Workflow für Aktionsnummer 15.4.1 nicht gefunden“ angezeigt, wie unten gezeigt:

      Palo Alto Networks Wildfire-App-Fehlermeldung

      Wenn Sie diese App nicht installieren möchten, löschen Sie die Schritte 15.2, 15.3 und 15.4 aus dem automatisierten Malware-Playbook-Flow.

    • Stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:
      • Der Security Incident wurde einem Sicherheitsanalysten zugewiesen, der zur entsprechenden Genehmigungsgruppe gehört.
      • Der Sicherheitsanalyst, der den Incident bearbeitet, muss über eine gültige E-Mail-Adresse verfügen.
      • Die erforderlichen Konfigurationselemente und erkennbaren Elemente wurden dem Security Incident hinzugefügt.
    • Ändern Sie für Schritt 21 (Genehmigung anfordern)die Gruppe von Security Incident-Zuweisung in Ihre bevorzugte Gruppe.
    • Schritt 21 des Flows ist ein obligatorischer Aufgabengenehmigungsschritt, bei dem eine Genehmigungsanforderung an den Administrator gesendet wird. Um die Anforderung zu genehmigen, muss der Administrator zur Seite „Aufgabengenehmigungen“ navigieren und das Feld Status auf Genehmigtfestlegen. Wenn die Aufgabe nicht genehmigt wird, kann der Flow Designer nicht fortfahren, und der Prozess wird beendet.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn im Netzwerk eine Aktivität mit schädlichem Code erkannt wird, wird ein Security Incident erstellt und der automatisierte Malware-Playbook-Flow gestartet. Sie können die im automatisierten Malware-Playbook-Flow definierten Aufgaben verwenden, um die Bedrohung zu selektieren, zu analysieren, einzudämmen und zu beseitigen.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer , um die mit der Security Operations-Spoke verfügbaren Flows anzuzeigen.
    2. Klicken Sie auf den Link Security Incident – Automatisierte Malware-Playbook-Vorlage VI.
    3. Klicken Sie auf der Seite „Flow“ auf das Symbol „ Mehr“ Symbol „Mehr“ , erstellen Sie eine Kopie des Flows, und öffnen Sie sie zur Verwendung.
      Sie können jetzt Änderungen an Ihrem Flow vornehmen, z. B. Auslösebedingungen oder Aktionen ändern oder Aktionen hinzufügen und entfernen.Automatisierte Malware-Playbook-Vorlage

      Dies zeigt den Auslöser und die Schritte, die mit dem Flow ausgeführt werden. Im rechten Bereich wird der Datenfluss angezeigt. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.

    4. Klicken Sie auf das Auslösersymbol.
      Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser und die Aufgabe an, die ausgeführt werden sollen, wenn die Bedingungen erfüllt sind.Automatisierter Malware-Playbook-Flow: Auslöser

      Wenn die im Flow definierte Bedingung (Aktivität „Kategorie ist schädlicher Code“) im Incident-Datensatz erfüllt ist, werden die Aufgaben im automatisierten Phishing-Flow nacheinander ausgeführt. Sie können den Auslöser ändern, Anmerkungen hinzufügen, Bedingungen hinzufügen oder löschen usw.

    5. Der erste Schritt im Flow ist „Security Incident-Datensatz aktualisieren“.
      Automatisierter Malware-Playbook-Flow: Schritt 1

      Klicken Sie auf den Link und dann auf das Anmerkungssymbol Anmerkungssymbol, um dem Sicherheitsanalysten eine Notiz hinzuzufügen, die angibt, dass böswilliger Code aktiv war und die Ausführung des automatisierten Playbook-Flows für die Reaktion auf Malware gestartet wurde.

    6. Fahren Sie mit Schritt 2 im Flow fort, und klicken Sie auf den Link Aufgabe erstellen.

      In diesem Schritt wird eine automatisierte Antwortaufgabe erstellt, um zu überprüfen, ob alle erforderlichen erkennbaren Elemente erfasst wurden und die Untersuchung beginnen kann.

      Automatisierter Malware-Playbook-Flow: Schritt 2

    7. Wenn der Ergebnistyp Neinist, bedeutet dies, dass keine erkennbaren Elemente und CIs zum Initiieren der Untersuchung verfügbar sind.
      Aktualisieren Sie den Security Incident-Datensatz, um anzugeben, dass das Playbook nicht fortgesetzt werden kann.
    8. Wenn der Ergebnistyp Jaist, weist der Subflow „Incident-Schweregrad festlegen“ dem Security Incident automatisch den richtigen Schweregrad zu.
    9. Im nächsten Schritt wird der Security Incident-Datensatz aktualisiert.
    10. Im nächsten Schritt werden alle am Incident oder einer ausgewählten Kategorie beteiligten erkennbaren Elemente erfasst, um in den nachfolgenden Playbook-Schritten zusätzliche automatisierte Aktionen auszuführen.
    11. Im nächsten Schritt wird eine automatisierte Antwortaufgabe erstellt.
      Diese Aufgabe erfasst den Beginn des Prozesses zum Abrufen der Reputation aller erkennbaren Elemente und zur Ergänzung mit konfigurierten Integrationen.
    12. In Schritt 8 werden zwei Subflows aufgerufen:
      • Bedrohungssuche für erkennbare Elemente ausführen: Dieser Subflow wird verwendet, um die Reputation aller erkennbaren Elemente mithilfe von Implementierungen der Bedrohungssuche abzurufen.
      • Erkennbare Elemente anreichern: Dieser Subflow wird verwendet, um die Anreicherung von erkennbaren Elementen mit konfigurierten Implementierungen durchzuführen.

      Automatisierter Flow für Malware-Playbooks: Schritt 8

      Beachten Sie die Symbole für diese Aufgabe. Das Symbol für parallele Vorgänge Symbol für parallele Vorgänge zeigt an, dass beide Aufgaben parallel ausgeführt werden, und das Subflow-Symbol Subflow-Symbol zeigt an, dass die ausgeführte Aufgabe ein Subflow ist, wie unten dargestellt:

      Automatisierter Flow für Malware-Playbooks: Schritt 8.1.1

      Beachten Sie die Zahl 5 im Feld „Erkennbare Elemente“. Dies gibt an, dass die Bedrohungssuche für erkennbare Elemente ausgeführt wird, die in Schritt 5 abgerufen wurden. Dieser Subflow ruft wiederum vorhandene Workflows und Aktionen auf.

    13. Im nächsten Schritt wird die Aktion „Datensätze nachschlagen ausführen“ ausgeführt.
      Diese Aktion wird verwendet, um nach Workflow-Kontextdatensätzen zu suchen, in denen die übergeordneten Workflows einer der folgenden sein können.
      • Bedrohungssuche – abstrakter Workflow-Kontext
      • Anreicherung erkennbarer Elemente – abstrakter Workflow-Kontext
    14. Im nächsten Schritt werden die Reputations- und Ergänzungsergebnisse für alle 8 Datensätze überprüft.
    15. Überprüfen Sie die nächsten Schritte weiter:
      1. Security Incident-Datensatz aktualisieren: Aktualisiert den Security Incident-Datensatz, um anzuzeigen, dass die Aktivitäten zur Reputationssuche und -anreicherung abgeschlossen wurden.
      2. Erkennbare Elemente aus Aufgabe abrufen: Ruft alle mit dem Security Incident verknüpften schädlichen erkennbaren Elemente ab.
      3. Aufgabe erstellen: Überprüft und bestätigt, ob die automatisierten Selektierungsläufe erfolgreich waren.
    16. Wenn erkennbare Elemente vorhanden sind, die als schädlich gekennzeichnet wurden:
      1. Security Incident-Datensatz aktualisieren: Veröffentlichen Sie eine Arbeitsnotiz, die angibt, dass eine Bedrohung erkannt wurde.
      2. Eingabeabfrage aus erkennbaren Elementen erstellen: Wenn mehr als zehn erkennbare Elemente als schädlich gekennzeichnet wurden, wird der Subflow „Sichtungssuche für erkennbare Elemente“ (unter Splunk oder Carbon Black) ausgeführt.
    17. Wenn die erkennbaren Elemente nicht als schädlich gekennzeichnet sind, wird der Flow mit den folgenden Schritten fortgesetzt:
      1. Security Incident-Datensatz aktualisieren: Veröffentlichen Sie eine Arbeitsnotiz, die angibt, dass keine Bedrohung erkannt wurde
      2. Erkennbare Elemente aus Aufgabe abrufen: Identifiziert alle SHA256-Hash-IDs aus dem Incident.
      3. Datensätze für erkennbare Elemente suchen: Sucht nach Datensätzen, die diese Kriterien erfüllen.
    18. Überprüfen Sie die nächsten Schritte weiter:
      1. Für jedes schädliche erkennbare Element wird der Workflow „Security Operations Palo Alto Networks – Wildfire-Datenanreicherung abrufen“ ausgeführt.
      2. Überprüft die Untersuchungsergebnisse, um festzustellen, ob sie zufriedenstellend sind.
        Eine Antwortaufgabe wird erstellt, um zu überprüfen, ob es sich bei der vermuteten Malware um einen Ransomware-Angriff handelt. Wenn ja, wird der Subflow „Ransomware-Playbook“ ausgeführt.
      3. Im nächsten Schritt wird eine E-Mail mit einer Zusammenfassung der Analyse und einer Genehmigungsanforderung gesendet, um Containment-Verfahren zu initiieren.
      4. Eine Aufgabe wird erstellt, um Details der angeforderten Genehmigung zu erfassen.
      5. Der nächste Schritt besteht darin, den Security Incident-Datensatz zu aktualisieren.
        Veröffentlichen Sie eine Arbeitsnotiz, die den Sicherheitsanalysten darüber informiert, dass die Genehmigungsanforderung erfolgt ist.
      6. Fordert die Genehmigung zur Eindämmung der Malware-Angriffe von Ihrem SOC-Manager an.
        Schritt 21
        Hinweis:
        Wenn eine Genehmigungsanforderung vom Flow generiert wird, wird die Arbeitsnotiz mit der folgenden Meldung aktualisiert:
        Für wurde eine Genehmigungsanforderung gestellt<task id> wird mit Containment fortgesetzt. Führen Sie die folgenden Schritte manuell aus, um diese Aufgabe als SOC-Manager zu genehmigen:
        • Navigieren Sie zur Seite „Aufgabengenehmigungen“.
        • Die Liste der Genehmigungen wird angezeigt. Klicken Sie auf<task id> , der genehmigt werden soll.
        • Ändern Sie den Status in „Genehmigen und speichern“.<task id> .
      7. Im nächsten Schritt wird der Security Incident-Datensatz aktualisiert, um den Genehmigungsstatus nachzuverfolgen.
      8. Als Nächstes wird eine Aufgabe erstellt, um Containment-Verfahren zu initiieren.
      9. Der Subflow „Blockierungsanforderungen für schädliche erkennbare Elemente ausführen“ wird ausgeführt, und ein Incident-Datensatz wird mit der Anforderung erstellt, das infizierte Gerät und seine Assets neu zu erstellen.
      10. Als Nächstes wird eine Aufgabe zum Ausführen der Sichtungssuche erstellt, um zu bestätigen, ob die Umgebung sicher ist.
        Die Sichtungssuche wird wiederholt, bis keine Sichtungen gefunden werden.
      11. Als Nächstes wird eine Aufgabe erstellt, um anzugeben, dass der Security Incident-Datensatz zur Überprüfung bereit ist.
      12. Abschließend wird der Datensatz aktualisiert und in die Überprüfungsphase verschoben.

    Nächste Maßnahme

    Sie können auf Test klicken, um die Aktionen im Flow zu simulieren, bevor er veröffentlicht wird. Klicken Sie nach dem Testen des Flow auf Aktivieren, um den Flow zu aktivieren und auszuführen.

    Klicken Sie auf Ausführungen, um die Ausführungsdetails des Flow anzuzeigen.

    Automatisierter Malware-Playbook-Flow: Ausführung