Führen Sie den Playbook-Flow für automatisierte Phishing-Antworten aus

Sicherheitsmanagement Zürich

Release

zurich

ft:locale

de-DE

ft:publication_title

Sicherheitsmanagement Zürich

ft:clusterId

security

bundleId

security

workflow

Technology

Führen Sie den Playbook-Flow für automatisierte Phishing-Antworten aus

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

6 Minuten Lesedauer

Mit dem Flow Designer können Sie Aufgaben im Playbook definieren und automatisieren, um Phishing-Angriffe auf Ihre Organisation zu analysieren und zu lösen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin, Flow_Designer und action_Designer
Installieren und konfigurieren Sie die folgenden Integrationen mit den richtigen Anmeldeinformationen:
- Anforderung Blockieren ( Security Operations Palo Alto Networks NGFW-Integration)
- Ergänzung erkennbarer Elemente
- Sichtungssuche
- Bedrohungssuche
- Microsoft Office Exchange

Warum und wann dieser Vorgang ausgeführt wird

Wenn Mitarbeiter eine verdächtige E-Mail erhalten, die die allgemeinen Anzeichen eines Phishing-Angriffs enthält (wie in Ihren Sicherheitsrichtlinien definiert), können sie sie sie als EML-Anhang an die von Ihrer Organisation definierte Phishing-E-Mail-Adresse senden. Mit den im Flow des automatisierten Phishing-Playbooks definierten Aufgaben können Sie eine Phishing-Bedrohung selektieren, analysieren, eindämmen und beseitigen. Diese Aufgaben können als Teil verschiedener Incident-status aufgerufen werden (z. B. „Analyse“, „Einhalten“ usw.). Wenn ein Phishing-Security Incident erstellt wird, kann der automatisierte Phishing-Flow automatisch ausgelöst werden. Mit Flow Designer können Sie die Details der verschiedenen Aktionen zur Reaktion auf Incidents anzeigen, während sie aufgerufen werden.

Hinweis:

Der Playbook-Flow „Security Incident – automatisierte Phishing-Antwort – Vorlage V1“ ist schreibgeschützt. Sie können eine Kopie des Flows erstellen und nach Bedarf Änderungen vornehmen.

Die folgenden Schritte beschreiben, wie Sie eine Kopie der Phishing-Playbook-Vorlage erstellen, und führen Sie durch einige der Aufgaben im Flow.

Prozedur

Navigieren zu Alle > Flow Designer > Designer Zum Anzeigen der mit verfügbaren Flows Security Operations Spoke.
Klicken Sie auf Security Incident: Vorlage für automatisierte Phishing-Antwort VI Link.
Klicken Sie auf der Flow-Seite auf das Symbol mehr , Erstellen Sie eine Kopie des Flows, und öffnen Sie ihn für Ihre Verwendung.
Sie können die Auslöserbedingungen ändern, Aktionen hinzufügen oder entfernen und andere Änderungen am Flow vornehmen.
Diese Abbildung zeigt die Auslöserbedingungen und die Schritte, die der Flow ausführt. Im rechten Bereich wird der Daten-Flow angezeigt. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.
Klicken Sie auf Auslöser Symbol.
Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser an und wie oft der Flow den Auslöser ausführen soll.
Wenn die im Flow definierten Bedingungen (Kategorie ist Phishing und Quelle ist E-Mail) im Incident-Datensatz erfüllt sind, werden die Aufgaben im automatisierten Phishing-Flow sequenziell ausgeführt. Sie können den Auslöser ändern, Anmerkungen hinzufügen, Bedingungen hinzufügen oder löschen usw.
Klicken Sie auf Aktualisieren Sie Den Security Incident-Datensatz Link.

Die Aktualisierung des Security Incident-Datensatzes ist der erste Schritt im Flow. Klicken Sie auf das Anmerkungssymbol Um dem Sicherheitsanalysten eine Notiz hinzuzufügen, die angibt, dass ein Phishing-Incident aufgetreten ist und der automatisierte Phishing-Playbook-Flow mit der Ausführung begonnen hat.
Fahren Sie mit Schritt 2 im Flow fort, und klicken Sie auf Erstellen Sie Eine Antwortaufgabe Link.

In diesem Schritt erstellt der Flow eine automatisierte Antwortaufgabe, um den Eingang an den einreichenden Incident oder den betroffenen Anwender zu bestätigen.

Beachten Sie Übergeordnete Aufgabe [Security Incident] Feld verweist auf den übergeordneten Datensatz, der diesem Schritt zugeordnet ist. Sie können einen beliebigen Referenzdatensatz mithilfe des Symbols für die Datenpillenauswahl auswählen Oder ziehen Sie das relevante Referenzelement aus dem rechten Bereich. Beachten Sie das Sperrsymbol . Das Schlosssymbol zeigt an, dass für den Schritt kein Anwendereingriff erforderlich ist.
In Schritt 3 erfasst der Flow zusätzliche Details des betroffenen Anwenders (normalerweise des Anwenders, der den Incident übermittelt hat), um sicherzustellen, dass eine Benachrichtigung erfolgreich gesendet werden kann.
Sie können Bedingungen angeben, um zu überprüfen, ob der Status des betroffenen Anwenders aktiv ist und der Anwender Benachrichtigungen erhalten kann.
Beachten Sie das Symbol für bedingten Schritt In Schritt 3. Der Flow führt den nächsten Schritt (3,1) nur aus, wenn die angegebenen Bedingungen erfüllt sind.

Wenn die in Schritt 3 definierten Bedingungen erfolgreich erfüllt wurden, wird die E-Mail gesendet.
In Schritt 4 wird die Antwortaufgabe nach dem Senden der E-Mail als geschlossen markiert.
In Schritt 5 werden alle am Incident beteiligten erkennbaren Elemente (z. B. E-Mail-Betreff, E-Mail-Adresse, von der die Phishing-E-Mail gesendet wurde, Phishing-URL) oder erkennbare Elemente, die zu einer ausgewählten Kategorie (Hash, Datei oder Domäne) gehören, gesammelt, um zusätzliche automatisierte Aktionen in den nachfolgenden Playbook-Schritten auszuführen.

Klicken Sie auf das Aktionsdesigner-Symbol Um eine detaillierte Ansicht der Aktion anzuzeigen.

Um anzuzeigen Aktionsdesigner Erweitern Sie einen Schritt im Flow, und klicken Sie auf das Aktionsdesigner-Symbol.
In Schritt 6 wird eine automatisierte Antwortaufgabe erstellt.
Diese Aufgabe erfasst den Beginn des Prozesses, bei dem die Reputation aller erkennbaren Elemente abgerufen und die Ergänzung mit konfigurierten Integrationen durchgeführt wird.
In Schritt 7 werden zwei Subflows genannt:
- Bedrohungssuchen für erkennbare Elemente ausführen: Dieser Subflow wird verwendet, um die Reputation aller erkennbaren Elemente mithilfe von Bedrohungssuche-Implementierungen abzurufen.
- Erkennbare Elemente anreichern: Dieser Subflow wird verwendet, um die Anreicherung erkennbarer Elemente mit konfigurierten Implementierungen durchzuführen.
Beachten Sie die Symbole für diese Aufgabe. Das Symbol für parallele Vorgänge Gibt an, dass sowohl die Aufgaben parallel als auch das Subflow-Symbol ausgeführt werden Gibt an, dass die ausgeführte Aufgabe ein Subflow ist, wie unten gezeigt:

Beachten Sie die Zahl 5 im Feld erkennbare Elemente. Dies gibt an, dass die Bedrohungssuche für erkennbare Elemente ausgeführt wird, die in Schritt 5 abgerufen wurden. Dieser Subflow ruft wiederum vorhandene Workflows und Aktionen auf, wie in angezeigt Subflow-Designer .
In Schritt 8 wird die Antwortaufgabe nach Abschluss der Subflows als geschlossen markiert.
In Schritt 9 wird der Subflow „Bedrohung durch Selektierung erkennbarer Elemente bestätigen“ aufgerufen.
Dieser Subflow wird verwendet, um das Vorhandensein eines Bedrohungsindikators im Incident zu bestätigen. Wenn die Bedrohung bestätigt wird, wird dem Incident die Kennzeichnung „IOC erkannt“ hinzugefügt.
Wenn die Bedrohung bestätigt wurde, aktualisieren Sie in Schritt 10 den Security Incident und fügen einen Hinweis hinzu, der angibt, dass Aufgaben zur Bedrohungseindämmung gestartet werden.
Schritt 11 ist eine automatisierte Antwortaufgabe, die den Start und Abschluss der Aufgabe erfasst, mit der die Auswirkungen der Phishing-E-Mails bewertet werden.
In Schritt 12 wird der Subflow Phishing-E-Mail-Auswirkung bewerten aufgerufen.
Dieser Subflow wird verwendet, um nach Anwendern zu suchen, die die Phishing-E-Mail mit unterstützten Implementierungen erhalten haben.
In Schritt 13 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow „Auswirkung auf Phishing-E-Mails bewerten“ ausgeführt wurde.
Schritt 14 wird verwendet, um alle erkennbaren Elemente abzurufen, die als schädlich markiert wurden.
Schritt 15 ist eine automatisierte Antwortaufgabe, die den Start und Abschluss der Sichtungssuche nach erkennbaren Elementen erfasst.
In Schritt 16 wird der Subflow Sichtungssuche für erkennbare Elemente ausführen aufgerufen.
Dieser Subflow führt eine Sichtungssuche mit der konfigurierten Implementierung durch.
In Schritt 17 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow Sichtungssuche für erkennbare Elemente ausführen abgeschlossen wurde.
Nachdem Sie die schädlichen erkennbaren Elemente identifiziert haben, aktualisieren Sie in Schritt 18 den Security Incident-Datensatz, um anzuzeigen, dass die Eindämmungsmaßnahmen jetzt beginnen.
Schritt 19 ist eine automatisierte Antwortaufgabe, die den Start und Abschluss der Aufgabe zum Blockieren von Anforderungen erfasst.
In Schritt 20 wird der Subflow „Blockanforderungen erstellen“ aufgerufen.
Dieser Subflow wird verwendet, um schädliche erkennbare Elemente zu blockieren.
In Schritt 21 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow „Blockanforderungen erstellen“ abgeschlossen wurde.
In Schritt 22 wird der Subflow Phishing-E-Mails löschen aufgerufen.
Dieser Subflow wird verwendet, um Phishing-E-Mails aus Anwenderpostfächern zu löschen.
Nachdem die Phishing-E-Mails gelöscht wurden, aktualisieren Sie in Schritt 23 den Security Incident-Datensatz, um anzugeben, dass der Incident-Status überprüft werden muss.
Im letzten Schritt erstellt der Flow eine automatisierte Antwortaufgabe.
Diese Aufgabe wird verwendet, um eine Erinnerung an den Sicherheitsanalysten zu senden, um alle Incident-Antwortaktionen für zukünftige Überprüfungen zu speichern.

Nächste Maßnahme

Sie können auf klicken Testen Um die Aktionen im Flow zu simulieren, bevor Sie ihn veröffentlichen. Klicken Sie nach dem Testen des Flows auf Aktivieren Um den Flow zu aktivieren und auszuführen.

Klicken Sie Auf Ausführungen Zum Anzeigen der Ausführungsdetails des Flows.

Automatisierter Phishing-Flow: Ausführung