Playbook-Aktionen für die Reaktion auf Security Incidents

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer
  • In diesem Abschnitt werden die Aktionen beschrieben, die in der Flow Designer-Aktionsbibliothek bereitgestellt werden.

    Aktionsname Beschreibung Beispielszenario
    Fügen Sie dem Security Incident ein Sicherheits-Tag hinzu Verwenden Sie diese Aktion, um mithilfe der Flow Designer-Logik automatisch ein Sicherheits-Tag hinzuzufügen. Wenn der Flow ein IOC erkennt, wird IOC erkannt Tag kann mit dieser Aktion automatisch hinzugefügt werden.

    Flow :

    • Eingabe: Security Incident, Sicherheits-Tag
    • Ausgabe: Nicht zutreffend
    Fügen Sie dem Security Incident erkennbare Elemente hinzu Verwenden Sie diese Aktion, um einem ausgewählten Security Incident erkennbare Elemente hinzuzufügen.
    • Standardmäßig wird die Liste der erkennbaren Elemente durch das Komma (,) getrennt, dies kann jedoch geändert werden. Sie können ein weiteres einzelnes Sonderzeichen als Trennzeichen angeben. Beim Hinzufügen erkennbarer Elemente wird der Typ (URL, IP-Adresse, Hash) automatisch festgelegt.
    • Wenn die erkennbaren Elemente dem Security Incident hinzugefügt werden, wird der Typ (URL, IP-Adresse, Hash) automatisch festgelegt.
    • Wenn die erkennbaren Elemente hinzugefügt werden, identifiziert die Option „erkennbare Elemente der Liste für zulässige Elemente filtern“ zulässige erkennbare Elemente in der Liste und fügt sie nicht der zugehörigen Liste der erkennbaren Elemente des Security Incidents hinzu. Eine automatisierte Systemaktivität (Antwort) wird hinzugefügt, um anzugeben, dass diese erkennbaren Elemente entfernt wurden.
    • Eingabe:
      • Security Incident
      • Erkennbare Elemente
      • Trennzeichen
      • Filtern Sie die zulässigen Listen erkennbarer Elemente und die Notiz zur Aktivität
    • Ausgabe: Nicht zutreffend
    Ruft betroffene Anwender (zugehörige Listen) aus mehreren Security Incidents ab V1 Ruft alle betroffenen Anwender ab, die in der zugehörigen Liste „Betroffene Anwender“ für die angegebenen Security Incidents aufgeführt sind. Sie können übergeordnete Security Incidents mit mehreren untergeordneten Security Incidents haben. Verwenden Sie diese Aktion, um betroffene Anwender aus allen untergeordneten Security Incidents zu den entsprechenden übergeordneten Security Incidents zusammenzufassen. Nur eindeutige betroffene Anwender werden Rollup durchgeführt, und alle Duplikate werden entfernt.
    • Eingabe: Security Incidents
    • Ausgabe:
      • Betroffener Anwender
      • count
    Ruft betroffene Anwender aus mehreren Security Incidents ab Ruft den primären betroffenen Anwender für den angegebenen Security Incident ab. Die betroffenen Anwender aus der zugehörigen Liste „Betroffene Anwender“ sind nicht enthalten.
    • Senden Sie bei der Untersuchung eines Phishing-Security Incidents eine E-Mail an die primären betroffenen Anwender (die den Phishing-Incident gemeldet haben), um zu bestätigen, ob einer der Anwender auf die schädlichen Links in der Phishing-E-Mail geklickt hat.
    • Aktualisieren Sie den Schweregrad oder die Risikopunktzahl des übergeordneten Security Incidents basierend auf der Anzahl der primär betroffenen Anwender.
    • Eingabe: Security Incidents
    • Ausgabe:
      • Betroffene Anwender
      • count
    Ruft betroffene Anwender (zugehörige Liste) aus einem Security Incident ab Ruft alle betroffenen Anwender ab, die in der zugehörigen Liste „Betroffene Anwender“ für einen angegebenen Security Incident aufgeführt sind.
    • Eingabe: Security Incidents
    • Ausgabe:
      • Betroffene Anwender
      • count
    Fügen Sie dem Security Incident betroffene Anwender hinzu Fügt alle betroffenen Anwender einem Security Incident hinzu. Angenommen, Sie haben einen übergeordneten Security Incident mit mehreren untergeordneten Security Incidents. Sie können diese Aktion verwenden, um betroffene Anwender aus allen untergeordneten Security Incidents zum entsprechenden übergeordneten Security Incident zusammenzufassen. Nur eindeutige betroffene Anwender werden Rollup durchgeführt, und alle Duplikate werden entfernt.
    • Eingabe:
      • Security Incident
      • Anwender
    • Ausgabe: Nicht zutreffend
    Ruft Konfigurationselemente der betroffenen Anwender ab Ruft die Konfigurationselemente (CIs) aller betroffenen Anwender ab. In Phishing- oder Malware-Szenarien können Sie diese Aktion verwenden, um die zugehörige Liste „Betroffene Konfigurationselemente“ (CI) zu aktualisieren und die CIs zu untersuchen. Sie können dann den Schweregrad oder die Risikopunktzahl des Security Incidents basierend auf der Anzahl der identifizierten CIs aktualisieren.
    • Eingabe: Anwender
    • Ausgabe:
      • Konfigurationselemente
      • count
    Ruft alle untergeordneten Security Incidents für einen Security Incident ab Ruft alle untergeordneten Security Incidents ab, die sich auf einen bestimmten übergeordneten Security Incident beziehen. Beispielszenario: Verwenden Sie diese Aktion, um:
    • Aktualisieren Sie den Status der untergeordneten Security Incidents, wenn der entsprechende Status der übergeordneten Security Incidents aktualisiert wird.
    • Aktualisieren Sie den Schweregrad oder die Risikopunktzahl des Security Incidents automatisch basierend auf der Anzahl der untergeordneten Security Incidents.
    • Eingabe:
      • Security Incident
      • Incident-Status
    • Ausgabe:
      • Untergeordneter Security Incident
      • count
    Konfigurationselemente für die erkennbaren Elemente abrufen (IP-Adresse eingeben) Ruft alle Konfigurationselemente (CIs) für erkennbare Elemente vom Typ „IP-Adresse“ ab. Ein erkennbares IP-Adresse kann einem Konfigurationselement zugeordnet werden. Beispiel: Die IP-Adresse eines Servers. Wenn Sie diese Aktion verwenden, können Sie Informationen für den Server abrufen.
    • Eingabe: ip-Adresse des erkennbaren Elements
    • Ausgabe:
      • Konfigurationselemente
      • count
    Ist erkennbares Element böswillig Bestätigt das Vorhandensein eines oder mehrerer schädlicher erkennbarer Elemente in einer Reihe erkennbarer Elemente. Nachdem die Bedrohungssuche abgeschlossen wurde und Sie das Vorhandensein schädlicher erkennbarer Elemente identifiziert haben, können Sie den Schweregrad oder die Risikopunktzahl eines Security Incidents erhöhen.
    • Eingabe: Security Incident
    • Ausgabe: Böswillig (wahr/falsch)
    Senden Sie eine E-Mail, um die Anwenderinteraktion zu bestätigen Sendet eine E-Mail als Antwort auf eine Anwenderantwort. Wenn ein Anwender mehrmals versucht, sich bei einer Anwendung anzumelden, führt dies zu einem fehlgeschlagenen Anmeldeszenario. In diesem Fall wird eine E-Mail an den Anwender gesendet, um zu bestätigen, ob der Anwender versucht hat, sich anzumelden oder nicht. Je nach Anwenderantwort (Ja oder Nein) können verschiedene Aktionen ausgeführt werden.

    Flow : Fehlgeschlagene Anmeldung – Manuelles Playbook

    Filtern Sie erkennbare Elemente der zulässigen Liste heraus Verwenden Sie diese Aktion, um das Auflisten erkennbarer Elemente aus einem bestimmten Satz erkennbarer Elemente zuzulassen. Sie können bestimmte erkennbare Elemente identifizieren, die in einer Reihe von erkennbaren Elementen ignoriert werden können. Diese erkennbaren Elemente werden bei der Lösung des Security Incidents nicht berücksichtigt.
    • Eingabe: Security Incident
    • Ausgabe:
      • Zulässige Liste erkennbarer Elemente
      • count
    Passwort für betroffene Anwender zurücksetzen Verwenden Sie diese Aktion, um das Passwort für betroffene Anwender zurückzusetzen. Wenn ein Anwenderaccount gehackt wurde oder ein Anwender die Zurücksetzung eines Passworts anfordert, wird eine E-Mail an den Anwender gesendet, um das Passwort zurückzusetzen.

    Flow : Fehlgeschlagene Anmeldung – Manuelles Playbook.

    Anwendergruppe für betroffenen Anwender abrufen Ruft die Anwendergruppendetails betroffener Anwender ab. Wenn in einer Organisation zwei oder mehr Anwender Phishing-E-Mails melden, können Sie die Gruppe herausfinden, zu der sie gehören, und feststellen, ob weitere Anwender betroffen waren
    • Eingabe: Anwender
    • Ausgabe:
      • Anwendergruppen
      • count