Verwenden Sie das Playbook „Wiederholungserkennung“.

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um zu untersuchen, ob die Incident-Antwort in der Vergangenheit für einen genauen oder ähnlichen Phishing-Bericht bereitgestellt wurde und automatisch für den neuen Bericht in ähnlicher Weise funktioniert. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook für Wiederholungserkennungen verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, ruft das Playbook in Aktion 1 das relative Datum des Security Incident mithilfe der Tageskonfiguration ab.
    2. In Aktion 2 sucht das Playbook in der Tabelle sn_ti_m2m_task_observable nach den Datensätzen erkennbarer Aufgabenelemente, die dem Incident entsprechen, basierend auf der Nachrichten-ID.
      Abbildung : 1. Wiederholungserkennungs-Playbook
      Sucht basierend auf der Nachrichten-ID nach Datensätzen erkennbarer Aufgaben.
    3. In Aktion 3 vergleicht das Playbook die erkennbaren Elemente der Aufgabe und den E-Mail-Text mithilfe des Levenshtein-Algorithmus für Incidents, die der Nachrichten-ID entsprechen.
    4. In Aktion 4 prüft das Playbook auf Grundlage der bisher durchgeführten Untersuchungen, ob der übereinstimmende Incident anhand der Nachrichten-ID gefunden wurde oder nicht.
      Wenn in Aktion 5 der übereinstimmende Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz und gibt an, dass basierend auf der Automatisierung für die Wiederholungserkennung eine Übereinstimmung gefunden wurde. In Aktion 6 endet der Flow.
    5. Wenn kein passender Incident gefunden wird, sucht das Playbook in Aktion 7 in der Tabelle sn_ti_m2m_task_observable nach den Datensätzen erkennbarer Aufgabenelemente, die dem Incident entsprechen, basierend auf dem Betreff.
    6. In Aktion 8 vergleicht das Playbook die erkennbaren Elemente der Aufgabe und den E-Mail-Text mithilfe des Levenshtein-Algorithmus für Incidents, die dem Betreff entsprechen.
    7. In Aktion 9 überprüft das Playbook, ob der passende Incident gefunden wurde.
      Wenn in Aktion 10 der übereinstimmende Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz und gibt an, dass basierend auf der Automatisierung für die Wiederholungserkennung eine Übereinstimmung gefunden wurde. In Aktion 11 endet der Flow.
      Abbildung : 2. Übereinstimmender Incident
      Wenn der passende Incident gefunden wird, werden die Arbeitsnotizen aktualisiert.
    8. In Aktion 12 sucht das Playbook in der Tabelle sn_ti_m2m_task_observable nach den Datensätzen erkennbarer Aufgabenelemente, die dem Incident entsprechen, basierend auf der Adresse.
    9. In Aktion 13 vergleicht das Playbook die erkennbaren Elemente der Aufgabe und den E-Mail-Text mithilfe des Levenshtein-Algorithmus für Incidents, die mit der Adresse übereinstimmen.
    10. In Aktion 14 überprüft das Playbook, ob der übereinstimmende Incident anhand der Adresse gefunden wurde oder nicht.
      Wenn in Aktion 15 der übereinstimmende Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz und gibt an, dass basierend auf der Automatisierung für die Wiederholungserkennung eine Übereinstimmung gefunden wurde. In Aktion 16 endet der Flow.