Configurer le playbook de détection de répétition

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Procédez comme suit pour configurer le playbook Répéter la détection.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer
    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke). Vous pouvez modifier les propriétés système suivantes :
    • sn_sec_spoke.similarphish.earlyterminationscore
    • sn_sec_spoke.similarphish.lookbackdays
    • sn_sec_spoke.similarphish.maxcomparisonsize
    • sn_sec_spoke.similarphish.minmatchscore

    Procédure

    1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
    2. Accédez à la Tout > Concepteur de flux et sélectionnez le playbook Repeat Detection (Détection de répétition ).
    3. Facultatif : Vous pouvez créer une copie du flux du playbook Répéter la détection et apporter les modifications nécessaires.
      Pour créer une copie du flux du playbook, cliquez sur l’icône de menu Actions supplémentaires et sélectionnez Copier le flux. Effectuez cette étape uniquement si vous envisagez de personnaliser ou d’apporter des changements spécifiques au flux.
      Figure 1. Playbook de détection de répétition
      Vue d’ensemble du playbook de détection de répétition
    4. Activez les playbooks.
      • Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      • Activez les flux copiés après avoir apporté les modifications requises.
    5. Définissez une condition de déclenchement pour le playbook.

      Ce playbook est déclenché lorsque l’incident de sécurité n’est pas vide.

      Condition de déclenchement pour le playbook de détection de répétition.