Playbook Für Security Incidents

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Rufen Sie den Security Incident-Playbook-Flow automatisch oder manuell auf.

    Ein Playbook ist nur sichtbar, wenn mindestens ein Playbook einem Security Incident zugeordnet ist. Die Playbook-Komponente funktioniert nur für die erstellten Prozesse des Prozessautomatisierungsdesigners (PAD) und nicht für die vom Flow Designer erstellten Flows. Für die vorhandenen Flow Designer-fähigen Flows funktioniert dies weiterhin, und die Aktivitäten werden weiterhin als Antwortaufgaben gerendert.

    Es gibt zwei Möglichkeiten, dem Security Incident ein Playbook zuzuordnen:
    • Playbook automatisch aufrufen
    • Fügen Sie Playbook manuell hinzu

    Playbook automatisch aufrufen

    Damit ein Playbook automatisch aufgerufen wird, muss ein Prozess mit definiert werden Prozessautomatisierungs-Designer (PAD) , Und wenn die Auslöserbedingung erfüllt ist, wird die Playbook-Registerkarte automatisch mit den angezeigten Playbook-Aktivitäten gerendert.

    Fügen Sie Playbook manuell hinzu

    Damit ein Playbook manuell aufgerufen werden soll, navigieren Sie zur Dropdown-Liste der Formular-UI-Aktion, und wählen Sie aus Fügen Sie Playbook Hinzu . Weitere Informationen finden Sie unter Playbook hinzufügen
    Hinweis:
    Wenn bereits ein Playbook verfügbar ist, werden die neu hinzugefügten Playbooks parallel zu den vorhandenen Playbooks ausgeführt.
    • Innerhalb des Playbooks kann der Analyst die Playbook-Karten nach Status filtern.
    • Der Analyst kann ein Playbook stornieren, indem er es über das Ellipsensymbol auswählt.
    • Innerhalb jeder Aktivität kann der Analyst die auf den Aktivitätskarten definierten Aktionen ausführen, z. B. Überspringen, als abgeschlossen markieren, Abbrechen oder Orchestration-Aktionen wie an Sandbox senden, E-Mails durchsuchen usw.
    • Jede dieser Aktionen ist in der Aktivitätsdefinition definiert, und die vollständige sichtbare Karte kann zum Zeitpunkt der Erstellung der Aktivitätsdefinition selbst angepasst werden.
    Hinweis:
    Alle zukünftigen Aktivitätsdefinitionen und die nächsten auszuführenden Schritte werden mit einem Sperrsymbol angezeigt und befinden sich für den Anwender im schreibgeschützten Modus. Der Playbook-Anzeigemodus wird durch eine Konfiguration gesteuert, wie unten erläutert.
    1. Navigieren zu Alle > Playbook-Experiencesan.
    2. Wählen Sie auf der Seite Playbook-Experiences eine aus SIR-Playbook-Experience .
      Abbildung : 1. Playbook-Experience
      Die Playbook-Experience für Security Incidents
      Die Playbook-Experience SIR-Playbook-Experience Seite wird angezeigt.
      Abbildung : 2. Playbook-Experience-Datensatz
      SIR-Playbook-Experience-Datensatz wird bearbeitet
    3. Klicken Sie auf Konfiguration Datensatz.
      Playbook-Konfigurationsdatensatz
    4. Klicken Sie auf der Registerkarte Konfiguration auf die SIR-Playbook-Experience-Konfiguration.
      Abbildung : 3. Playbook-Konfiguration
      Bearbeiten Sie die Playbook-Konfiguration
    5. Navigieren Sie zu Sichtbarkeit Ausstehender Elemente Dropdown-Liste des Felds, wählen Sie die gewünschte Option aus, und speichern Sie den Datensatz. Wählen Sie eine der folgenden Optionen aus:
      • Ausstehende Aktivitäten ausblenden : Wählen Sie diese Option aus, um die ausstehenden Aktivitäten auszublenden, die Sie im Playbook-Abschnitt des Arbeitsbereichs anzeigen möchten.
        Abbildung : 4. Vom Anwender Gemeldetes Phishing-Beispiel
        Ausstehende Aktivitäten im Playbook „Phishing manuell“ ausblenden.
      • Ausstehende Phasen und Aktivitäten anzeigen : Wählen Sie diese Option aus, um ausstehende Phasen und Aktivitäten anzuzeigen, die Sie im Playbook-Abschnitt des Arbeitsbereichs anzeigen möchten.
        Abbildung : 5. Ausstehende Phasen und Aktivitäten anzeigen
        Zeigen Sie ausstehende Phasen und Aktivitäten im Playbook „Phishing manuell“ an
      • Ausstehende Aktivitäten und Phasen ausblenden : Wählen Sie diese Option aus, um ausstehende Aktivitäten und Phasen auszublenden, die Sie im Playbook-Abschnitt des Arbeitsbereichs sehen möchten.
        Abbildung : 6. Ausstehende Aktivitäten und Phasen ausblenden
        Ausstehende Aktivitäten und Phasen im Playbook „Phishing manuell“ ausblenden
    6. Verwenden Sie im Abschnitt Playbook die Filteroption, um die Aktivitäten nach Playbook-Kartenstatus (Aktivitätsdefinition) zu filtern.
      Abbildung : 7. Playbook-Kartenstatus
      Playbook-Kartenstatus

    Playbook hinzufügen

    Verwenden Sie diesen Abschnitt, um Playbook manuell hinzuzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Arbeitsbereich Für Sicherheitsanalystenan.
    2. Öffnen Sie einen Incident-Datensatz.
    3. Klicken Sie Auf Fügen Sie Playbook Hinzu .
      Fügen Sie manuell ein Playbook hinzu
      Die Fügen Sie Playbook Hinzu Dialogfeld wird angezeigt.
      Playbook hinzufügen
    4. Wählen Sie die Playbook-Vorlage aus.
    5. Klicken Sie Auf Fügen Sie Playbook Hinzu .
      Ein Dialogfeld mit Bestätigungsnachricht wird angezeigt, in dem Sie bestätigen können.
    6. Klicken Sie Auf Trotzdem Hinzufügen .
      Bestätigungsnachricht
    7. Die Playbook Wird neben hinzugefügt Details Registerkarte.
      Playbook-Bestätigungsnachricht
    8. Klicken Sie auf Playbook Registerkarte.
      Playbook-Aktivitäten
    9. Führen Sie die aufgeführten Aktivitäten aus, um zur nächsten Ebene zu wechseln.
      Hinweis:
      Wenn ein Security Incident einem Playbook zugeordnet ist, kann der Anwender bis zum Schließen oder Abbrechen des zugehörigen Playbooks dasselbe Playbook nicht erneut demselben Security Incident zuordnen.