Security Incident-Playbook

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Rufen Sie den Security Incident-Playbook-Flow automatisch oder manuell auf.

    Ein Playbook ist nur sichtbar, wenn mindestens ein Playbook einem Security Incident zugeordnet ist. Die Playbook-Komponente funktioniert nur für die vom Prozessautomatisierungs-Designer (PAD) erstellten Prozesse und nicht für die vom Flow Designer erstellten Flows. Für die vorhandenen Flow Designer-fähigen Flows funktioniert es weiterhin, und die Aktivitäten werden weiterhin als Antwortaufgaben gerendert.

    Es gibt zwei Möglichkeiten, dem Security Incident ein Playbook zuzuordnen:
    • Playbook automatisch aufrufen
    • Fügen Sie Playbook manuell hinzu

    Playbook automatisch aufrufen

    Damit ein Playbook automatisch aufgerufen wird, muss ein Prozess mit definiert werden Prozessautomatisierungs-Designer (PAD) , Und wenn die Auslöserbedingung erfüllt ist, wird automatisch die Playbook-Registerkarte gerendert und die Playbook-Aktivitäten angezeigt.

    Fügen Sie Playbook manuell hinzu

    Damit ein Playbook manuell aufgerufen werden soll, navigieren Sie zur Dropdown-Liste der Formular-UI-Aktion, und wählen Sie aus Fügen Sie Playbook Hinzu . Weitere Informationen finden Sie unter . Playbook hinzufügen
    Hinweis:
    Wenn bereits ein Playbook verfügbar ist, werden die neu hinzugefügten Playbooks parallel zu den vorhandenen Playbooks ausgeführt.
    • Innerhalb des Playbooks kann der Analyst die Playbook-Karten nach Status filtern.
    • Der Analyst kann ein Playbook abbrechen, indem er es über das Ellipsensymbol auswählt.
    • Innerhalb jeder Aktivität kann der Analyst die in den Aktivitätskarten definierten Aktionen ausführen, z. B. Überspringen, als abgeschlossen markieren, Abbrechen oder Orchestration-Aktionen wie an Sandbox senden, E-Mails durchsuchen usw.
    • Jede dieser Aktionen ist in der Aktivitätsdefinition definiert, und die vollständige sichtbare Karte kann zum Zeitpunkt der Erstellung der Aktivitätsdefinition selbst angepasst werden.
    Hinweis:
    Alle zukünftigen Aktivitätsdefinitionen und die nächsten auszuführenden Schritte werden mit einem Sperrsymbol angezeigt und befinden sich für den Anwender im schreibgeschützten Modus. Der Playbook-Anzeigemodus wird durch eine Konfiguration gesteuert, wie unten erläutert.
    1. Navigieren zu Alle > Playbook-Experiencesan.
    2. Wählen Sie auf der Seite „Playbook-Experiences“ eine aus SIR-Playbook-Experience .
      Abbildung : 1. Playbook-Experience
      Die Security Incident-Playbook-Experience
      Die Playbook-Experience SIR-Playbook-Experience Seite wird angezeigt.
      Abbildung : 2. Playbook-Experience-Datensatz
      SIR-Playbook-Experience-Datensatz wird bearbeitet
    3. Klicken Sie auf Konfiguration Datensatz.
      Playbook-Konfigurationsdatensatz
    4. Klicken Sie auf der Registerkarte Konfiguration auf die SIR Playbook Experience-Konfiguration.
      Abbildung : 3. Playbook-Konfiguration
      Bearbeiten Sie die Playbook-Konfiguration
    5. Navigieren Sie zu Sichtbarkeit Ausstehender Elemente Wählen Sie die gewünschte Option aus, und speichern Sie den Datensatz. Wählen Sie eine der folgenden Optionen aus:
      • Ausstehende Aktivitäten ausblenden : Wählen Sie diese Option aus, um die ausstehenden Aktivitäten auszublenden, die Sie im Playbook-Abschnitt des Arbeitsbereichs anzeigen möchten.
        Abbildung : 4. Vom Anwender Gemeldetes Phishing-Beispiel
        Ausstehende Aktivitäten im Playbook „Phishing Manual“ ausblenden.
      • Ausstehende Phasen und Aktivitäten anzeigen : Wählen Sie diese Option aus, um ausstehende Phasen und Aktivitäten anzuzeigen, die Sie im Playbook-Abschnitt des Arbeitsbereichs anzeigen möchten.
        Abbildung : 5. Ausstehende Phasen und Aktivitäten anzeigen
        Zeigen Sie ausstehende Phasen und Aktivitäten im manuellen Phishing-Playbook an
      • Ausstehende Aktivitäten und Phasen ausblenden : Wählen Sie diese Option aus, um ausstehende Aktivitäten und Phasen auszublenden, die Sie im Playbook-Abschnitt des Arbeitsbereichs anzeigen möchten.
        Abbildung : 6. Ausstehende Aktivitäten und Phasen ausblenden
        Ausstehende Aktivitäten und Phasen im manuellen Phishing-Playbook ausblenden
    6. Verwenden Sie im Abschnitt Playbook die Filteroption, um die Aktivitäten nach Playbook-Kartenstatus (Aktivitätsdefinition) zu filtern.
      Abbildung : 7. Playbook-Kartenstatus
      Playbook-Kartenstatus

    Playbook hinzufügen

    Verwenden Sie diesen Abschnitt, um Playbook manuell hinzuzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Security Analyst Workspacean.
    2. Öffnen Sie einen Incident-Datensatz.
    3. Klicken Sie Auf Fügen Sie Playbook Hinzu .
      Fügen Sie manuell ein Playbook hinzu
      Die Fügen Sie Playbook Hinzu Dialogfeld wird angezeigt.
      Playbook hinzufügen
    4. Wählen Sie die Playbook-Vorlage aus.
    5. Klicken Sie Auf Fügen Sie Playbook Hinzu .
      Ein Dialogfeld mit Bestätigungsnachricht wird angezeigt, in dem Sie bestätigen können.
    6. Klicken Sie Auf Trotzdem Hinzufügen .
      Bestätigungsnachricht
    7. Die Playbook Wird neben hinzugefügt Details Registerkarte.
      Playbook-Bestätigungsnachricht
    8. Klicken Sie auf Playbook Registerkarte.
      Playbook-Aktivitäten
    9. Führen Sie die aufgeführten Aktivitäten aus, um zur nächsten Ebene zu wechseln.
      Hinweis:
      Wenn ein Security Incident einem Playbook zugeordnet ist, kann der Anwender bis zum Schließen oder Abbrechen des zugehörigen Playbooks dasselbe Playbook nicht erneut demselben Security Incident zuordnen.