Security Incident Playbook

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Sie können den Playbook-Flow für Security Incidents automatisch oder manuell aufrufen.

    Ein Playbook ist nur sichtbar, wenn einem Security Incident mindestens ein Playbook zugeordnet ist. Die Playbook-Komponente funktioniert nur für die von Process Automation Designer (PAD) erstellten Prozesse und nicht für die vom Flow Designer erstellten Flows. Für die vorhandenen Flow Designer-fähigen Flows funktioniert es weiterhin, und die Aktivitäten werden weiterhin als Antwortaufgaben gerendert.

    Es gibt zwei Möglichkeiten, das Playbook dem Security Incident zuzuordnen:
    • Playbook automatisch aufrufen
    • Playbook manuell hinzufügen

    Playbook automatisch aufrufen

    Damit ein Playbook automatisch aufgerufen wird, muss mit dem Prozessautomatisierungs-Designer (PAD)ein Prozess definiert werden. Wenn die Auslösebedingung erfüllt ist, wird automatisch die Playbook-Registerkarte gerendert und die Playbook-Aktivitäten werden angezeigt.

    Playbook manuell hinzufügen

    Um ein Playbook manuell aufzurufen, navigieren Sie zur Dropdown-Liste Formular-UI-Aktion, und wählen Sie Playbook hinzufügenaus. Weitere Informationen finden Sie unter Playbook hinzufügen
    Hinweis:
    Wenn bereits ein Playbook verfügbar ist, werden die neu hinzugefügten Playbooks parallel zu den vorhandenen Playbooks ausgeführt.
    • Im Playbook können Analysten die Playbook-Karten nach Status filtern.
    • Der Analyst kann ein Playbook abbrechen, indem er es über das Ellipse-Symbol auswählt.
    • In jeder Aktivität kann der Analyst die in den Aktivitätskarten definierten Aktionen ausführen, z. B. Überspringen, „Als abgeschlossen markieren“, „Abbrechen“, oder Orchestration-Aktionen wie „An Sandbox senden“, „E-Mails durchsuchen“ usw.
    • Jede dieser Aktionen ist in der Aktivitätsdefinition definiert, und die vollständige sichtbare Karte kann zum Zeitpunkt der Erstellung der Aktivitätsdefinition selbst angepasst werden.
    Hinweis:
    Alle zukünftigen Aktivitätsdefinitionen und die nächsten auszuführenden Schritte werden mit einem Schlosssymbol angezeigt und befinden sich für den Benutzer im schreibgeschützten Modus. Der Playbook-Anzeigemodus wird durch eine Konfiguration gesteuert, wie unten erläutert.
    1. Navigieren zu Alle > Playbook Experiencesan.
    2. Wählen Sie auf der Seite „Playbook Experiences“ eine SIR Playbook Experienceaus.
      Abbildung : 1. Playbook-Experience
      Die Security Incident Playbook-Experience
      Die Seite „Playbook Experience SIR Playbook Experience “ wird angezeigt.
      Abbildung : 2. Playbook-Experience-Datensatz
      Bearbeiten des Datensatzes „SIR Playbook Experience“.
    3. Klicken Sie auf den Konfigurationsdatensatz.
      Playbook-Konfigurationsdatensatz
    4. Klicken Sie auf der Registerkarte Konfiguration auf Konfiguration SIR Playbook-Experience.
      Abbildung : 3. Playbook-Konfiguration
      Bearbeiten Sie die Playbook-Konfiguration
    5. Navigieren Sie zur Dropdown-Liste des Felds Sichtbarkeit ausstehender Elemente, wählen Sie die gewünschte Option aus, und speichern Sie den Datensatz. Wählen Sie eine der folgenden Optionen aus:
      • Ausstehende Aktivitäten ausblenden: Wählen Sie diese Option aus, um die ausstehenden Aktivitäten auszublenden, die im Playbook-Abschnitt des Arbeitsbereichs angezeigt werden sollen.
        Abbildung : 4. Beispiel für von einem Anwender gemeldetes Phishing
        Blenden Sie ausstehende Aktivitäten im Playbook „Manuelles Phishing“ aus.
      • Ausstehende Phasen und Aktivitätenanzeigen: Wählen Sie diese Option aus, um ausstehende Phasen und Aktivitäten anzuzeigen, die im Playbook-Abschnitt des Arbeitsbereichs angezeigt werden sollen.
        Abbildung : 5. Ausstehende Phasen und Aktivitäten anzeigen
        Zeigen Sie ausstehende Phasen und Aktivitäten im Playbook „Phishing-Handbuch“ an
      • Ausstehende Aktivitäten und Phasenausblenden: Wählen Sie diese Option aus, um ausstehende Aktivitäten und Phasen auszublenden, die im Playbook-Abschnitt des Arbeitsbereichs angezeigt werden sollen.
        Abbildung : 6. Ausstehende Aktivitäten und Phasen ausblenden
        Blenden Sie ausstehende Aktivitäten und Phasen im Playbook „Phishing-Handbuch“ aus
    6. Verwenden Sie im Abschnitt „Playbook“ die Filteroption, um die Aktivitäten nach Playbook-Kartenstatus (Aktivitätsdefinition) zu filtern.
      Abbildung : 7. Playbook-Kartenstatus
      Playbook-Kartenstatus

    Playbook hinzufügen

    Verwenden Sie diesen Abschnitt, um Playbook manuell hinzuzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Security Analyst Workspacean.
    2. Öffnen Sie einen Incident-Datensatz.
    3. Klicken Sie auf Playbook hinzufügen.
      Fügen Sie manuell ein Playbook hinzu
      Das Dialogfeld „ Playbook hinzufügen“ wird angezeigt.
      Playbook hinzufügen
    4. Wählen Sie die Playbook-Vorlage aus.
    5. Klicken Sie auf Playbook hinzufügen.
      Ein Dialogfeld mit einer Bestätigungsmeldung wird angezeigt, in dem Sie bestätigen müssen.
    6. Klicken Sie auf Trotzdem hinzufügen.
      Bestätigungsnachricht
    7. Das Playbook wird neben der Registerkarte Details hinzugefügt.
      Playbook-Bestätigungsnachricht
    8. Klicken Sie auf die Registerkarte Playbook.
      Playbook-Aktivitäten
    9. Führen Sie die aufgeführten Aktivitäten aus, um zur nächsten Ebene zu wechseln.
      Hinweis:
      Wenn ein Security Incident einem Playbook zugeordnet ist, kann der Benutzer das Playbook bis zum Schließen oder Abbrechen des zugehörigen Playbooks nicht erneut mit demselben Security Incident verknüpfen.