Lösen Sie Sicherheitsbedrohungen mit dem Playbook

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 8 Minuten Lesedauer

    • Verwenden Sie das Playbook, um bestimmte Arten von Sicherheitsbedrohungen Schritt für Schritt zu lösen. Sie können beispielsweise Phishing-Angriffe und Bedrohungen lösen, die durch schädliche Codeaktivitäten verursacht wurden, mithilfe von Playbooks.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Jede Gruppe von Aufgaben (Analyse, Eindämmung usw.) führt Sie durch eine Reihe von Fragen und anderen Aktivitäten zur Lösung der Bedrohung.
    Abbildung : 1. Playbook
    Playbook-Beispiel

    Geben Sie während der Bearbeitung jeder Aufgabe Arbeitsnotizen ein, um ähnliche Angriffe in der Zukunft zu analysieren. Nachdem eine Bedrohung identifiziert wurde, können Sie auch Informationen im Playbook verwenden, um die Bedrohung unter Quarantäne zu stellen, ähnlich betroffene Assets zu isolieren und Malware zu entfernen.

    Wissensartikel, die in jeder Aufgabe enthalten sind, enthalten Tipps und andere Informationen, die Sie bei der Durchführung der erforderlichen Schritte unterstützen.
    Abbildung : 2. Wissensartikel
    wissensartikel zur Unterstützung von Phishing-Aufgaben

    Das Basissystem enthält Wissensartikel für jede der Playbook-Aufgaben. Sie können jedoch Schreiben Sie Ihre eigenen Wissensartikel Und Ordnen Sie sie Playbook-Aufgaben zu .

    Hinweis:
    Ein Beispiel für die Verwendung des Playbooks zur Analyse und Lösung einer bestimmten Bedrohung finden Sie unter Auflösen von von Anwendern gemeldeten Phishing-Angriffen mit dem Playbook.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents (neue UI)an.
      Der Bildschirm Security Incidents zeigt Security Incidents an, die Ihnen zugewiesen wurden.
      Security Incidents
    2. Sie können auf klicken Mir zugewiesen Auswahlliste zum Auswählen eines anderen Filters, z. B. alle offenen Incidents oder alle nicht zugewiesenen Incidents.
      Alternativ können Sie auf einen der Schnellfilter klicken, um Security Incidents eines bestimmten Typs anzuzeigen, z. B. nur kritische Incidents.
    3. Klicken Sie auf den Security Incident, den Sie analysieren möchten.

      Erwägen Sie die Priorisierung von Security Incidents mit hoch Risikopunktzahlen .

    4. Wenn der Playbook-Bereich am rechten Rand des Bildschirms geschlossen ist, klicken Sie auf das Playbook-Symbol ( Playbook), um es zu öffnen.
      Wenn dem Security Incident kein Playbook zugewiesen ist, können Sie ein Playbook aus der Auswahlliste „ausgewähltes Playbook“ wie unten gezeigt auswählen:

      Wählen Sie Playbook aus
      Sie können dem Security Incident auch ein anderes Playbook zuweisen. Informationen zum Einbeziehen eines Playbooks in die ausgewählte Playbook-Auswahlliste oder zum Ändern des Playbooks für einen Security Incident finden Sie unter Aktivieren Sie Playbooks für die Analystenauswahl Für Details.

      Das für den Typ der Sicherheitsbedrohung spezifische Playbook wird geöffnet. Sie ist in Kategorien ähnlicher Aufgaben unterteilt. Sie verwenden beispielsweise die Aufgaben in der Analyse Gruppe, um die Gültigkeit und den Umfang der Bedrohung zu bestimmen. Die Enthalten Die Gruppe enthält Aufgaben zum Isolieren der Bedrohung für einen bestimmten Anwender oder ein bestimmtes Asset. Die Aufgaben in Beseitigen Die Gruppe führt Sie durch den Prozess zum Entfernen der Malware oder zum erneuten Mapping des Hosts.

    5. Klicken Sie auf die erste Gruppe ( Analyse ), und klicken Sie dann auf die erste Aufgabe im Playbook.
    6. Befolgen Sie die Anweisungen in der Aufgabe.
      • Einige Aufgaben stellen eine Frage, z. B. „ist E-Mail Teil der Kampagne?“ Führen Sie die erforderliche Analyse durch, um die Frage zu beantworten, und wählen Sie aus Ja Oder Nein .
      • Wenn Sie haben Definierte Wissensartikel und verknüpfte sie Playbook-Aufgaben , Die Artikel werden angezeigt, wenn Sie mit der Arbeit an einer Aufgabe beginnen.
      • Einige Aufgaben sind Übergangsaufgaben. Sie weisen Sie einfach an, eine Aktion auszuführen, z. B. erkennbare Elemente zu einem Security Incident hinzuzufügen. Nachdem Sie die Aktion abgeschlossen haben, klicken Sie auf Als abgeschlossen markieren .
      Wenn Sie Aufgaben abschließen, werden Ihnen nachfolgende Aufgaben basierend auf den von Ihnen getroffenen Auswahlmöglichkeiten angezeigt. Ausgegraute Gruppen (z. B. Wiederherstellen , Überprüfen , Usw.) kann durch Ihre Auswahlmöglichkeiten aktiviert werden.
    7. Arbeiten Sie an jeder Ihnen vorgelegten Aufgabe weiter, bis Sie alle Aufgaben zur Lösung der Bedrohung und zum Schließen des Security Incidents abgeschlossen haben.

    Auflösen von von Anwendern gemeldeten Phishing-Angriffen mit dem Playbook

    Das Phishing-Playbook führt Sie durch die Aufgaben, die für die Analyse und Lösung eines Phishing-Angriffs erforderlich sind, der von einem der Mitarbeiter Ihres Unternehmens gemeldet wurde.

    Wie Security Incidents aus von Anwendern gemeldeten Phishing-Angriffen erstellt werden

    Während des Setups von Security Incident Response erstellt Ihr Systemadministrator eine Reihe von E-Mail-Übereinstimmungsregeln Die E-Mails identifizieren kann, die Anzeichen eines Phishing-Angriffs enthalten. Wenn Mitarbeiter eine verdächtige E-Mail erhalten, die die allgemeinen Anzeichen eines Phishing-Angriffs enthält (wie in Ihren Sicherheitsrichtlinien definiert), können sie sie sie als EML-Anhang an die von Ihrer Organisation definierte Phishing-E-Mail-Adresse senden.

    Wenn die E-Mail an die Phishing-E-Mail-Adresse empfangen wird, wird der EML-Anhang analysiert, und seine Informationen werden mit den E-Mail-Übereinstimmungsregeln verglichen. Wenn eine Übereinstimmung gefunden wird, wird ein Security Incident mit den folgenden Informationen erstellt:
    • Die Kurzbeschreibung enthält vom Anwender gemeldetes Phishing, gefolgt vom tatsächlichen Betreff aus der ursprünglichen E-Mail.
    • Die EML-Datei wird an den Security Incident angehängt.
    • Wenn die EML erkennbare Elemente enthielt, werden sie analysiert, und Ergänzungs- und Bedrohungssuchen werden automatisch durchgeführt.
    Abbildung : 3. Vom Anwender Gemeldetes Phishing
    Vom Anwender gemeldeter Phishing-Security Incident
    Wenn ein Security Incident der Phishing-Kategorie geöffnet wird, ist das Phishing-Playbook automatisch verfügbar. Klicken Sie einfach auf das Playbook-Symbol ( Playbook), um das Playbook zu öffnen.
    Abbildung : 4. Phishing-Playbook
    Phishing-Playbook-Bereich

    Das Phishing-Playbook enthält Aufgaben, mit denen Sie eine Phishing-Bedrohung analysieren, eindämmen und beseitigen können. Die Aufgaben sind in status organisiert (z. B. Analyse , Enthalten , Und so weiter). Wenn alle Aufgaben für einen Status abgeschlossen wurden, führt Sie das Playbook zum nächsten Status.

    Security Incident-Details werden analysiert

    Wenn sich der Security Incident im Status „Analyse“ befindet, erhalten Sie Aufgaben zur Durchführung einer grundlegenden Untersuchung des Incident, einschließlich:
    • Bestimmung der Gültigkeit des Incident.
    • Untersuchung der Auswirkungen der potenziellen Bedrohung.
    • Koordination einer effektiven Reaktion auf den Incident.
    Während der Bearbeitung der Aufgaben:
    • Machen Sie sich mit den Wissensartikeln vertraut.
    • Öffnen Sie den E-Mail-Anhang, und untersuchen Sie ihn auf Anzeichen allgemeiner Phishing-Elemente.
    • Überprüfen Sie die Ergebnisse der Bedrohungssuche.

    Enthält den Security Incident

    Wenn sich der Security Incident in befindet Enthalten status erhalten Sie Aufgaben, um die Details der E-Mail zu überprüfen. Um sicherzustellen, dass Bedrohungen nicht in Ihre Organisation gelangen können, aktualisieren Sie Ihre Netzwerkschutzmaßnahmen in Form von Signaturen und Regeln für Intrusion Defense System (IDS) und Intrusion Prevention System (IPS).

    Während der Bearbeitung der Aufgaben:
    • Ergreifen Sie Maßnahmen, um die Auswirkungen von Bedrohungen zu begrenzen, z. B. das Isolieren der betroffenen Geräte.
    • Überprüfen Sie die an die E-Mail angehängten erkennbaren Elemente.
    • Bestimmen Sie, ob E-Mail-Inhalte einer bekannten Bedrohung zugeordnet sind, einschließlich:
      • URL
      • E-Mail-Absender
      • Phishing-URL
      • IP-Adresse des SMTP-Servers des Absenders

    Malware wird beseitigt

    Nachdem Sie aktualisierte Signaturen und Regeln für Ihre Virenschutzlösung bereitgestellt haben, verwenden Sie die Aufgaben in Beseitigen status, um zu bestimmen, ob Malware vorhanden ist, und sie entsprechend zu behandeln.

    Während Sie die Aufgaben durcharbeiten:
    • Scannen Sie die Endpunkte der betroffenen Geräte auf das Vorhandensein von Malware.
    • Entfernen Sie alle gefundenen Malware.
    • Löschen Sie als letztes Mittel die Hostgeräte, und erstellen Sie ein neues Image.

    Security Incident wird überprüft

    Wenn Sie bei der Ausführung der Analyseaufgaben festgestellt haben, dass ein Phishing-Angriff ein falscher Alarm war, wird der Security Incident zu verschoben Überprüfen geben sie an, und Sie müssen Ihre Anwender benachrichtigen, damit sie wissen, dass es sicher ist, den E-Mail-Anhang zu öffnen.

    Security Incident wird geschlossen

    Wenn alle Aufgaben im Playbook abgeschlossen sind, wird der Security Incident in verschoben Geschlossen status. Sie müssen Abschlusskommentare eingeben, bevor der Incident geschlossen werden kann.

    Security Incident wird abgebrochen

    Wenn sich ein Security Incident in befindet Überprüfen Und Sie haben Ihre Anwender erfolgreich darüber informiert, dass die E-Mail keine Bedrohung darstellt, d. h. Abgebrochen der status wird aktiv, und Sie können den Security Incident abbrechen.

    Hinweis:
    Die Wiederherstellungsaufgabe wird im Phishing-Playbook nicht verwendet.

    Ordnen Sie einen wissensartikel einer Playbook-Aufgabe zu

    Während Sie Sicherheitsbedrohungen mit analysieren Security Incident Response playbook: Sie können Wissensartikel für jede Aufgabe anzeigen, wenn sie von Ihrer Organisation definiert wurde. Wenn keine Wissensartikel vorhanden sind, können Sie sie erstellen und Playbook-Aufgaben zuordnen.

    Vorbereitungen

    Wie Sie das Playbook in verwenden Security Incident Response, Notieren Sie sich den Text, der jeder Aufgabe zugeordnet ist. Beispielsweise ist die erste Aufgabe in der Phishing-Kategorie Wurde Der Mitarbeiter Gewarnt? Dies ist die Kurzbeschreibung der Aufgabe. Sie benötigen diesen Text (genau so, wie er im Playbook angezeigt wird), um der Aufgabe einen wissensartikel zuzuordnen.

    Erforderliche Rolle: sn_Sir.Knowledge_admin und entweder sn_si.admin oder admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Katalog & Wissen > Wissenan.
    2. Erstellen und veröffentlichen Sie einen wissensartikel für eine bestimmte Playbook-Aufgabe.
    3. Navigieren zu Security Incident > Manuelles Runbook > Neues Runbook erstellenan.
    4. Erstellen Sie ein Runbook, indem Sie die folgenden Informationen eingeben:
      Feld Beschreibung
      Wissensartikel Wählen Sie den veröffentlichten wissensartikel aus, den Sie der Playbook-Aufgabe zuordnen möchten.
      Tabelle Wählen Sie Aus Security Incident Response Aufgabe [sn_si_Task].
      Bedingung Legen Sie den Bedingungsgenerator fest auf:
      • Option: Wählen Sie Aus Kurzbeschreibung .
      • Operator: Wählen Sie Aus Ist .
      • Eingabewert: Geben Sie die Kurzbeschreibung für die Aufgabe genau so ein, wie sie im Playbook angezeigt wird.
    5. Klicken Sie auf Absenden.
      Wenn Sie das Playbook das nächste Mal ausführen und diese Aufgabe auswählen, wird der zugehörige wissensartikel angezeigt.

    Fügen Sie dem Playbook eine anwenderdefinierte Aufgabe hinzu

    Die Sicherheitsanalyst-Arbeitsbereich Das Basissystem enthält eine Reihe von Aufgaben für jede Bedrohungskategorie. Sie können anwenderdefinierte Aufgaben erstellen, die den individuellen Anforderungen Ihres Systems oder Ihrer Kunden entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Basic oder Security_admin

    Prozedur

    1. Klicken Sie bei geöffnetem Playbook auf Aufgabe Hinzufügen .
      Klicken Sie auf die Schaltfläche Aufgabe hinzufügen
      Der Bildschirm „Anwenderdefinierte Aufgabe hinzufügen“ wird geöffnet.
      Fügen Sie eine anwenderdefinierte Playbook-Aufgabe hinzu
    2. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Anzahl [Schreibgeschützt] die automatisch generierte Security Incident-Aufgabennummer.
      Übergeordnet Die Nummer des zugehörigen Security Incidents.
      Konfigurationselement Das vom Sicherheitsproblem betroffene Konfigurationselement, falls vorhanden.
      Betroffener Anwender Der vom Sicherheitsproblem betroffene Anwender, falls vorhanden.
      Priorität Wählen Sie die Priorität aus, mit der bestimmt wird, wann diese Aufgabe ausgeführt werden soll.
      Status des Security Incidents Der aktuelle Status der Sicherheitsantwortaufgabe. Sie können bei Bedarf einen zukünftigen Status auswählen.
      Ergebnistyp Wenn Sie über die Rolle sn_si.Basic verfügen, wählen Sie aus Ja/Nein Als Ergebnistyp.

      Wenn Sie über die Rolle Security_admin verfügen, können Sie einen anwenderdefinierten Ergebnistyp mit mehreren anwenderdefinierten Ausgabewerten erstellen. Sie können beispielsweise eine Aufgabe mit abhängigen Werten basierend auf der Bedrohungskategorie definieren. Weitere Informationen finden Sie unter Auswahllisten

      Zuweisungsgruppe Die Zuweisungsgruppe, aus der der zugewiesene Mitarbeiter ausgewählt wird.
      Zugewiesen an Die Person, die der Ausführung der Aufgabe zugewiesen ist.
      Kurzbeschreibung Eine Beschreibung der Security Incident-Playbook-Aufgabe.
      Beschreibung Geben Sie eine Beschreibung für die ausgewählte Aufgabe ein.
    3. Wenn Sie Ihre Einträge abgeschlossen haben, klicken Sie auf Aufgabe Hinzufügen .
      Die Aufgabe wird nach der aktuellen Aufgabe in das Playbook eingefügt.