Exécuter le flux du playbook de réponse d’hameçonnage automatisé

Gestion de la sécurité à Washington DC

Release

washingtondc

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité à Washington DC

ft:clusterId

security

bundleId

security

workflow

Technology

Exécuter le flux du playbook de réponse d’hameçonnage automatisé

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

7 minutes de lecture

À l’aide de Flow Designer, vous pouvez définir et automatiser des tâches dans le playbook afin d’analyser et de résoudre les attaques de phishing contre votre organisation.

Avant de commencer

Rôle requis : sn_si.admin, flow_designer et action_designer
Installez et configurez les intégrations suivantes avec les informations d’identification correctes :
- Demande de bloc (Security Operations intégration Palo Alto Networks NGFW)
- Enrichissement des éléments observables
- Recherche de perception
- Recherche de menace
- Microsoft Office Exchange

Pourquoi et quand exécuter cette tâche

Lorsque les employés reçoivent un e-mail suspect contenant les signes courants d’une attaque de phishing (tels que définis par vos politiques de sécurité), ils peuvent l’envoyer sous la forme d’un fichier . Pièce jointe EML à l’adresse e-mail d’hameçonnage définie par votre organisation. À l’aide des tâches définies dans le flux du playbook d’hameçonnage automatisé, vous pouvez trier, analyser, contenir et éradiquer une menace d’hameçonnage. Ces tâches peuvent être invoquées dans le cadre de différents états d’incident (par exemple, Analyse, Maîtriser, etc.). Lorsqu’un incident de sécurité de hameçonnage est créé, le flux d’hameçonnage automatisé peut être déclenché automatiquement. Flow Designer vous permet d’afficher les détails des différentes actions de réponse aux incidents au fur et à mesure qu’elles sont invoquées.

Remarque :

Le flux du playbook Incident de sécurité - Modèle de réponse automatisée à l’hameçonnage V1 est en lecture seule. Vous pouvez effectuer une copie du flux et apporter les modifications nécessaires.

Les étapes suivantes décrivent comment créer une copie du modèle de playbook d’hameçonnage et vous guident à travers certaines des tâches du flux.

Procédure

Accédez à la Tous > Concepteur de flux > Concepteur pour afficher les flux disponibles avec le Security Operations spoke.
Cliquez sur le lien Security Incident - Automated Phishing Response Template VI (Incident de sécurité - Modèle de réponse automatisée à l’hameçonnage ).
Sur la page Flux, cliquez sur l’icône Plus icône , faites une copie du flux et ouvrez-la pour votre utilisation.
Vous pouvez modifier les conditions de déclenchement, ajouter ou supprimer des actions et apporter d’autres modifications au flux.
Cette image montre les conditions de déclenchement et les étapes exécutées par le flux. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.
Cliquez sur l’icône Déclencher .
Dans un premier temps, vous définissez ou paramétrez le déclencheur du flux. Spécifiez les conditions du déclencheur et la fréquence à laquelle vous souhaitez que le flux l’exécute.
Lorsque les conditions définies dans le flux (la catégorie est Hameçonnage et la source est E-mail) sont remplies dans l’enregistrement d’incident, les tâches du flux d’hameçonnage automatisé commencent à s’exécuter séquentiellement. Vous pouvez modifier le déclencheur, ajouter des annotations, ajouter ou supprimer des conditions, etc.
Cliquez sur le lien Mettre à jour l’enregistrement d’incident de sécurité .

La mise à jour de l’enregistrement d’incident de sécurité est la première étape du flux. Cliquez sur l’icône d’annotation pour ajouter une note à l’analyste de sécurité indiquant qu’un incident d’hameçonnage s’est produit et que le flux automatisé du playbook d’hameçonnage a commencé à s’exécuter.
Poursuivez avec l’étape 2 dans le flux, puis cliquez sur le lien Créer une tâche de réponse .

Dans cette étape, le flux crée une tâche de réponse automatisée pour confirmer la réception de l’incident auprès de l’émetteur ou de l’utilisateur affecté.

Notez que le champ Tâche parente [Incident de sécurité] fait référence à l’enregistrement parent associé à cette étape. Vous pouvez choisir n’importe quel enregistrement de référence à l’aide de l’icône du sélecteur de pastilles de données, de ou faire glisser l’élément de référence pertinent à partir du panneau de droite. Remarquez l’icône de verrouillage . L’icône de verrou indique que cette étape ne nécessite aucune intervention de l’utilisateur.
À l’étape 3, le flux collecte des détails supplémentaires sur l’utilisateur affecté (généralement l’utilisateur qui a soumis l’incident) pour s’assurer qu’il peut envoyer une notification avec succès.
Vous pouvez spécifier des conditions pour vérifier si l’état de l’utilisateur affecté est actif et si l’utilisateur est en mesure de recevoir des notifications.
Remarquez l’icône d’étape conditionnelle à l’étape 3. Le flux n’exécute l’étape suivante (3.1) que si les conditions spécifiées sont remplies.

Lorsque les conditions définies à l’étape 3 sont remplies, l’e-mail est envoyé.
À l’étape 4, une fois l’e-mail envoyé, la tâche de réponse est marquée comme fermée.
À l’étape 5, tous les observables impliqués dans l’incident (tels que l’objet de l’e-mail, l’adresse e-mail à partir de laquelle l’e-mail d’hameçonnage a été envoyé, l’URL d’hameçonnage) ou les observables appartenant à une catégorie sélectionnée (hachage, fichier ou domaine) sont collectés pour effectuer des actions automatisées supplémentaires dans les étapes suivantes du playbook.

Cliquez sur l’icône du concepteur pour afficher une vue détaillée de l’action.

Pour afficher la page Designer d’action , développez une étape dans le flux et cliquez sur l’icône du concepteur d’action.
À l’étape 6, une tâche de réponse automatisée est créée.
Cette tâche capture le début du processus d’obtention de la réputation de tous les observables et d’exécution de l’enrichissement avec des intégrations configurées.
À l’étape 7, deux flux secondaires sont appelés :
- Exécuter des recherches de menace pour les observables : ce flux secondaire permet d’obtenir la réputation de tous les observables à l’aide des implémentations de recherche de menace.
- Enrichir les observables : ce flux secondaire permet d’enrichir les observables avec les implémentations configurées.
Remarquez les icônes pour cette tâche. L’icône indique que les deux tâches seront exécutées en parallèle et l’icône de flux secondaire indique que la tâche en cours d’exécution est un flux secondaire, comme illustré ci-dessous :

Notez le chiffre 5 dans le champ Observables. Cela indique que la recherche de menace sera exécutée sur les observables récupérés à l’étape 5. Ce flux secondaire appelle à son tour les workflows et les actions existants, comme indiqué dans le concepteur de flux secondaires.
À l’étape 8, une fois les flux secondaires terminés, la tâche de réponse est marquée comme fermée.
À l’étape 9, le flux secondaire Confirmer la menace à partir du triage des observables est appelé.
Ce flux secondaire est utilisé pour confirmer la présence d’un indicateur de menace dans l’incident. Si la menace est confirmée, un marqueur « IOC détecté » est ajouté à l’incident.
Lorsque la menace est confirmée, à l’étape 10, vous mettez à jour l’incident de sécurité et ajoutez une note indiquant que des tâches de maîtrise de la menace seront lancées.
L’étape 11 est une tâche de réponse automatisée qui capture le début et la fin de la tâche utilisée pour évaluer l’impact des e-mails d’hameçonnage.
À l’étape 12, le flux secondaire Évaluer l’impact de l’e-mail d’hameçonnage est appelé.
Ce flux secondaire est utilisé pour rechercher les utilisateurs qui ont reçu l’e-mail d’hameçonnage à l’aide des implémentations prises en charge.
À l’étape 13, la tâche est marquée comme fermée pour indiquer que le flux secondaire Évaluer l’impact de l’e-mail d’hameçonnage a été exécuté.
L’étape 14 est utilisée pour récupérer tous les observables qui ont été marqués comme malveillants.
L’étape 15 est une tâche de réponse automatisée qui capture le démarrage et la fin de la tâche de recherche de perception des observables.
À l’étape 16, le flux secondaire Exécuter la recherche de perceptions sur les observables est appelé.
Ce flux secondaire effectue une recherche d’observations à l’aide de l’implémentation configurée.
À l’étape 17, la tâche est marquée comme fermée pour indiquer que le flux secondaire Exécuter la recherche de perceptions sur les observables a été terminé.
Une fois que vous avez identifié les observables malveillants, à l’étape 18, vous mettez à jour l’enregistrement d’incident de sécurité pour indiquer que les actions de confinement vont maintenant commencer.
L’étape 19 est une tâche de réponse automatisée qui capture le début et la fin de la tâche des demandes de bloc.
À l’étape 20, le flux secondaire Créer des demandes de bloc est appelé.
Ce flux secondaire est utilisé pour bloquer les observables malveillants.
À l’étape 21, la tâche est marquée comme fermée pour indiquer que le flux secondaire Créer des demandes de bloc a été terminé.
À l’étape 22, le flux secondaire Éradiquer les e-mails d’hameçonnage est appelé.
Ce flux secondaire est utilisé pour supprimer les e-mails d’hameçonnage des boîtes aux lettres des utilisateurs.
Une fois les e-mails d’hameçonnage supprimés, à l’étape 23, vous devez mettre à jour l’enregistrement d’incident de sécurité pour indiquer que l’état de l’incident doit être revu.
À la dernière étape, le flux crée une tâche de réponse automatisée.
Cette tâche permet d’envoyer un rappel à l’analyste de sécurité pour enregistrer toutes les actions de réponse aux incidents en vue de révisions futures.

Que faire ensuite

Vous pouvez cliquer sur Test pour simuler les actions dans le flux avant de le publier. Après avoir testé le flux, cliquez sur Activer pour activer le flux et l’exécuter.

Cliquez sur Exécutions pour afficher les détails de l’exécution du flux.

Flux d’hameçonnage automatisé : exécution