Playbook pour les programmes malveillants automatisés
Le Playbook de programme malveillant automatisé fournit une séquence d’étapes automatisées qui vous aide à résoudre les alertes de programme malveillant rapidement et efficacement.
Utilisez le flux du playbook de programme malveillant pour automatiser les étapes impliquées dans la gestion des alertes de programme malveillant provenant du point de terminaison ou du réseau. Le modèle de flux comprend des conditions de déclenchement, une séquence d’actions et des flux secondaires annotés à des fins de lisibilité.
- Incident de sécurité - Automated Malware Playbook Modèle : ce modèle est conçu pour automatiser les réponses aux alertes de programme malveillant et contient une séquence d’actions, y compris un déclencheur.
- Incident de sécurité - Programme malveillant Modèle manuel : ce modèle est le workflow de réponse manuelle aux programmes malveillants qui est activé lorsque la catégorie est définie sur Activité du code malveillant.
- Confirmer la menace à partir de l’observable : vérifie si l’observable est malveillant et doit être traité.
- Définir la gravité de l’incident : définit l’état de gravité de l’incident.
- Playbook de rançongiciel : détermine s’il s’agit d’une attaque de rançongiciel.
Ces flux secondaires représentent un ensemble d’opérations réutilisables qui peuvent être utilisées dans plusieurs playbooks. Vous pouvez utiliser ces flux secondaires pour définir des modèles personnalisés (flux) en fonction de vos besoins.
Pour créer des modèles personnalisés (flux), suivez les instructions de la section Flux.