Playbook pour les programmes malveillants automatisés
Le playbook de programme malveillant automatisé fournit une séquence d’étapes automatisées qui vous aide à résoudre les alertes de programme malveillant rapidement et efficacement.
Utilisez le flux du playbook de programme malveillant pour automatiser les étapes de gestion des alertes de programme malveillant provenant du point de terminaison ou du réseau. Le modèle de flux comprend des conditions de déclenchement, une séquence d’actions et des flux secondaires annotés pour plus de lisibilité.
- Modèle de playbook automatisé d’incidents de sécurité - programme malveillant : ce modèle est conçu pour automatiser les réponses aux alertes de programme malveillant et contient une séquence d’actions, y compris un déclencheur.
- Modèle manuel Incident de sécurité - Programme malveillant : ce modèle est le workflow de réponse manuelle aux programmes malveillants existant qui est activé lorsque la catégorie est définie sur Activité de code malveillant.
- Confirmer la menace à partir de l’observable : vérifie si les observables sont malveillants et doivent être traités.
- Définir la gravité de l’incident : définit un statut de gravité pour l’incident.
- Playbook de rançongiciel : détermine s’il s’agit d’une attaque de rançongiciel.
Ces flux secondaires représentent un ensemble d’opérations réutilisables qui peuvent être utilisées dans plusieurs playbooks. Vous pouvez utiliser ces flux secondaires pour définir des modèles personnalisés (flux) en fonction de vos besoins.
Pour créer des modèles personnalisés (flux), suivez les instructions de la section Flux.