Résoudre les menaces de sécurité avec le playbook

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • Utilisez le Playbook pour résoudre certains types de menaces à la sécurité étape par étape. Par exemple, vous pouvez résoudre les attaques de hameçonnage et les menaces causées par une activité de code malveillant à l’aide de playbooks.

    Avant de commencer

    Rôle requis : sn_si.admin ou admin

    Pourquoi et quand exécuter cette tâche

    Chaque groupe de tâches (Analyse, Contenir, etc.) vous guide à travers une série de questions et d’autres activités pour résoudre la menace.
    Figure 1. Playbook
    Exemple de playbook

    Au fur et à mesure que vous accomplissez chaque tâche, saisissez des notes de travail pour faciliter l’analyse des attaques similaires à l’avenir. Une fois qu’une menace est identifiée, vous pouvez également utiliser les informations du playbook pour mettre la menace en quarantaine, isoler les ressources affectées de manière similaire et supprimer les programmes malveillants.

    Les articles de la base de connaissances, inclus dans chaque tâche, fournissent des conseils et d’autres informations pour vous aider à effectuer les étapes nécessaires.
    Figure 2. Articles de la base de connaissances
    Article de la base de connaissances prenant en charge la tâche d’hameçonnage

    Le système de base inclut des articles de la base de connaissances pour chacune des tâches du playbook. Vous pouvez toutefois écrire vos propres articles de la base de connaissances et les associer à des tâches de playbook.

    Remarque :
    Pour obtenir un exemple d’utilisation du playbook pour analyser et résoudre une menace spécifique, reportez-vous à la section Résolution des attaques de hameçonnage signalées par les utilisateurs avec le playbook.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Incidents (nouvelle UI).
      L’écran Incidents de sécurité affiche les incidents de sécurité qui vous ont été affectés.
      Incidents de sécurité
    2. Vous pouvez cliquer sur la liste de choix Affectés à moi pour sélectionner un autre filtre, comme tous les incidents ouverts ou tous les incidents non affectés.
      Vous pouvez également cliquer sur l’un des filtres rapides pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques uniquement.
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      Envisagez de donner la priorité aux incidents de sécurité avec des scores de risque élevés.

    4. Si le volet playbook sur le bord droit de l’écran est fermé, cliquez sur l’icône playbook ( Playbook) pour l’ouvrir.
      Si aucun playbook n’est affecté à l’incident de sécurité, vous pouvez sélectionner un playbook dans la liste de choix de Playbooks sélectionnés, comme indiqué ci-dessous :

      Sélectionner un playbook
      Vous pouvez également affecter un playbook différent à l’incident de sécurité. Pour inclure un playbook dans la liste de choix de Playbooks sélectionnés ou pour modifier le playbook pour un incident de sécurité, consultez Activer les playbooks pour la sélection d’analystes pour en savoir plus.

      Le playbook spécifique au type de menace de sécurité s’ouvre. Il est divisé en catégories de tâches similaires. Par exemple, vous utilisez les tâches du groupe Analyse pour déterminer la validité et l’étendue de la menace. Le groupe Contenir comprend des tâches permettant d’isoler la menace pour un utilisateur ou un actif spécifique. Les tâches du groupe Éradiquer vous guident tout au long du processus de suppression du programme malveillant ou de re-mise en image de l’hôte.

    5. Cliquez sur le premier groupe (Analyse), puis sur la première tâche dans le playbook.
    6. Suivez les invites de la tâche.
      • Certaines tâches posent une question, par exemple « L’e-mail fait-il partie de la campagne ? » Effectuez l’analyse nécessaire pour répondre à la question et sélectionnez Oui ou Non.
      • Si vous avez défini des articles de la base de connaissances et les avez associés à des tâches de playbook, les articles s’affichent lorsque vous commencez à travailler sur une tâche.
      • Certaines tâches sont transitoires. Ils vous demandent simplement d’effectuer une action, comme l’ajout d’observables à un incident de sécurité. Une fois que vous avez terminé l’action, cliquez sur Marquer comme terminé.
      Au fur et à mesure que vous effectuez des tâches, les tâches suivantes vous sont présentées en fonction des choix que vous faites. Les groupes grisés (tels que Récupérer, Examiner, etc.) peuvent être activés par vos choix.
    7. Continuez à travailler sur chaque tâche qui vous est présentée jusqu’à ce que vous ayez terminé toutes les tâches afin de résoudre la menace et de fermer l’incident de sécurité.

    Résolution des attaques de hameçonnage signalées par les utilisateurs avec le playbook

    Le manuel Hameçonnage vous guide dans les tâches nécessaires à l’analyse et à la résolution d’une attaque d’hameçonnage signalée par l’un des employés de votre entreprise.

    Comment les incidents de sécurité sont créés à partir d’attaques de phishing signalées par les utilisateurs

    Lors de la configuration de Security Incident Response, votre administrateur système crée une série de règles de correspondance des e-mails qui peuvent identifier les e-mails contenant des signes d’attaque de phishing. Lorsque les employés reçoivent un e-mail suspect contenant les signes courants d’une attaque par hameçonnage (tels que définis par vos politiques de sécurité), ils peuvent l’envoyer en tant que fichier . Pièce jointe EML à l’adresse e-mail d’hameçonnage définie par votre organisation.

    Lorsque l’e-mail est reçu à l’adresse e-mail d’hameçonnage, le fichier . La pièce jointe EML est analysée et ses informations sont comparées aux règles de correspondance des e-mails. Si une correspondance est trouvée, un incident de sécurité contenant les informations suivantes est créé :
    • La brève description inclut le hameçonnage signalé par l’utilisateur, suivi de l’objet réel de l’e-mail d’origine.
    • Le. Le fichier EML est joint à l’incident de sécurité.
    • Si l’extension . EML contient tous les observables, ils sont analysés et l’enrichissement et les recherches de menaces sont automatiquement effectués.
    Figure 3. Hameçonnage signalé par un utilisateur
    Incident de sécurité de hameçonnage signalé par un utilisateur
    Lorsqu’un incident de sécurité de catégorie Hameçonnage est ouvert, le Playbook Hameçonnage est automatiquement disponible. Cliquez simplement sur l’icône du playbook ( Playbook) pour ouvrir le playbook.
    Figure 4. Playbook d’hameçonnage
    Volet du Playbook d’hameçonnage

    Le playbook Hameçonnage contient des tâches pour vous aider à analyser, contenir et éradiquer une menace de hameçonnage. Les tâches sont organisées en états (par exemple, Analyse, Contenir, etc.). Lorsque toutes les tâches d’un état ont été terminées, le playbook vous guide vers l’état suivant.

    Analyse des détails de l’incident de sécurité

    Lorsque l’incident de sécurité est à l’état Analyse, vous recevez des tâches pour enquêter de base sur l’incident, notamment :
    • Détermination de la validité de l’incident.
    • Étudier l’impact de la menace potentielle.
    • Coordonner une réponse efficace à l’incident.
    Au fur et à mesure que vous effectuez les tâches :
    • Familiarisez-vous avec les articles de la base de connaissances.
    • Ouvrez la pièce jointe de l’e-mail et examinez-la à la recherche de signes d’éléments d’hameçonnage courants.
    • Examinez les résultats de la recherche de menaces.

    Contenir l’incident de sécurité

    Lorsque l’incident de sécurité est à l’état Contenir , vous êtes chargé d’examiner les détails de l’e-mail. Pour vous assurer que les menaces ne peuvent pas pénétrer dans votre organisation, mettez à jour les défenses de votre réseau, sous la forme de signatures et de règles des systèmes de défense contre les intrusions (IDS) et de systèmes de prévention des intrusions (IPS).

    Au fur et à mesure que vous effectuez les tâches :
    • Prenez des mesures pour limiter les impacts des menaces, telles que l’isolement des appareils impactés.
    • Examinez les observables joints à l’e-mail.
    • Déterminez si des contenus d’e-mail sont associés à une menace connue, notamment :
      • URL
      • Expéditeur d’e-mail
      • URL de hameçonnage
      • Adresse IP du serveur SMTP de l’expéditeur

    Éradiquer le logiciel malveillant

    Une fois que vous avez déployé des signatures et des règles mises à jour dans votre solution antivirus, utilisez les tâches à l’état Éradiquer pour déterminer si un programme malveillant est présent et traitez-le en conséquence.

    Au fur et à mesure que vous accomplissez les tâches :
    • Analysez les points de terminaison des appareils affectés pour détecter la présence de logiciels malveillants.
    • Supprimez tous les logiciels malveillants détectés.
    • En dernier recours, effacez et recréez l’image des appareils hôtes.

    Examen de l’incident de sécurité

    Si vous avez déterminé qu’une attaque de hameçonnage était une fausse alerte lors de l’exécution des tâches d’analyse, l’incident de sécurité passe à l’état Examiner et vous devez en informer vos utilisateurs afin qu’ils sachent qu’ils peuvent ouvrir la pièce jointe de l’e-mail en toute sécurité.

    Clôture de l’incident de sécurité

    Lorsque toutes les tâches du playbook ont été terminées, l’incident de sécurité passe à l’état Fermé . Vous devez saisir des commentaires de fermeture pour pouvoir fermer l’incident.

    Annulation d’un incident de sécurité

    Lorsqu’un incident de sécurité est à l’état Examiner et que vous avez informé vos utilisateurs que l’e-mail n’est pas une menace, l’état Annulé devient actif et vous pouvez annuler l’incident de sécurité.

    Remarque :
    La tâche Récupérer n’est pas utilisée dans le playbook Hameçonnage.

    Associer un article de la base de connaissances à une tâche Playbook

    Lorsque vous analysez les menaces de sécurité à l’aide du Réponse aux incidents de sécurité playbook, vous pouvez afficher les articles de la base de connaissances pour chaque tâche si définie par votre organisation. Si les articles de la base de connaissances ne sont pas présents, vous pouvez les créer et les associer à des tâches de playbook.

    Avant de commencer

    Lorsque vous utilisez le playbook dans Réponse aux incidents de sécurité, notez le texte associé à chaque tâche. Par exemple, la première tâche de la catégorie Hameçonnage est L’alerte a-t-elle été envoyée par l’employé ? Il s’agit de la brève description de la tâche. Vous avez besoin de ce texte (exactement tel qu’il apparaît dans le playbook) pour associer un article de la base de connaissances à la tâche.

    Rôle requis : sn_sir.knowledge_admin et sn_si.admin ou admin

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Catalogue et base de connaissances > Base de connaissances.
    2. Créez et publiez un article de la base de connaissances pour une tâche Playbook spécifique.
    3. Accédez à la Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    4. Créez un runbook en renseignant les informations suivantes :
      Champ Description
      Article de la base de connaissances Sélectionnez l’article de la base de connaissances publié que vous souhaitez associer à la tâche Playbook.
      Table Sélectionnez Réponse aux incidents de sécurité la tâche [sn_si_task].
      Condition Définissez le générateur de conditions sur :
      • Option: Sélectionnez Brève description.
      • Opérateur:Sélectionnez est.
      • Valeur d’entrée : Saisissez la brève description de la tâche, exactement telle qu’elle apparaît dans le playbook.
    5. Cliquez sur Envoyer.
      La prochaine fois que vous exécuterez le playbook et sélectionnerez cette tâche, l’article de la base de connaissances associé s’affichera.

    Ajouter une tâche personnalisée au playbook

    Le Security Analyst Workspace système de base comprend une série de tâches pour chaque catégorie de menace. Vous pouvez créer des tâches personnalisées qui répondent aux besoins uniques de votre système ou de vos clients.

    Avant de commencer

    Rôle requis : sn_si.basic ou security_admin

    Procédure

    1. Une fois le playbook ouvert, cliquez sur Ajouter une tâche.
      Cliquez sur le bouton Ajouter une tâche
      L’écran Ajouter une tâche personnalisée s’ouvre.
      Ajouter une tâche Playbook personnalisée
    2. Renseignez les champs nécessaires.
      Champ Description
      Numéro [Lecture seule] Numéro de tâche d’incident de sécurité généré automatiquement.
      Parent Numéro de l’incident de sécurité associé.
      Élément de configuration Élément de configuration affecté par le problème de sécurité, le cas échéant.
      Utilisateur affecté Utilisateur affecté par le problème de sécurité, le cas échéant.
      Priorité Sélectionnez la priorité utilisée pour déterminer quand cette tâche doit être effectuée.
      État de l'incident de sécurité État actuel de la tâche de réponse de sécurité. Vous pouvez sélectionner un état futur, si nécessaire.
      Type de résultat Si vous disposez du rôle sn_si.basic, sélectionnez Oui/Non comme type de résultat.

      Si vous disposez du rôle security_admin, vous pouvez créer un type de résultat personnalisé avec plusieurs valeurs de sortie personnalisées. Par exemple, vous pouvez définir une tâche avec des valeurs dépendantes en fonction de la catégorie de menace. Pour plus d’informations, consultez Listes de choix
      Groupe d'affectation Groupe d’affectation à partir duquel l’agent affecté sera sélectionné.
      Affecté à Personne affectée à l’exécution de la tâche.
      Description brève Description de la tâche du playbook d’incident de sécurité.
      Description Entrez une description pour la tâche sélectionnée.
    3. Lorsque vous avez terminé vos entrées, cliquez sur Ajouter une tâche.
      La tâche est insérée dans le playbook après la tâche actuelle.