Exécuter le flux du playbook de programme malveillant automatisé

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 7 minutes de lecture

    • Utilisez ce flux pour automatiser les tâches dans le playbook afin d’analyser et de résoudre les attaques de programmes malveillants contre votre organisation.

    Avant de commencer

    • Rôle requis : sn_si.admin, flow_designer et action_designer
    • Installez et configurez les intégrations suivantes avec les informations d’identification correctes :
      • Palo Alto Networks WildFire pour les opérations de sécurité
      • Recherche de perception (Splunk)
      • Demandes de blocs
      • Recherche de menace
      • Enrichir les observables

      Vérifiez que ces intégrations fonctionnent correctement avant d’activer le modèle de Playbook Incident de sécurité - Programme malveillant automatisé.

    • Application Security Operations Palo Alto Networks Wildfire : pour accéder au flux automatisé du Playbook de programme malveillant, vous devez installer le spoke Security Operations et l’application Security Operations Palo Alto Networks - WildFire à partir du ServiceNow Store. Si l’application Security Operations Palo Alto Networks Wildfire n’est pas installée, vous verrez une erreur « workflow sur l’action numéro 15.4.1 introuvable » comme indiqué ci-dessous :

      Message d’erreur de l’application Palo Alto Networks Wildfire

      Si vous ne souhaitez pas installer cette application, supprimez les étapes 15.2, 15.3 et 15.4 du flux du playbook automatisé de programme malveillant.

    • Assurez-vous que les conditions suivantes sont remplies :
      • L’incident de sécurité a été affecté à un analyste de sécurité qui appartient au groupe d’approbation approprié.
      • L’analyste de sécurité qui gère l’incident doit avoir une adresse e-mail valide.
      • Les éléments de configuration et les observables nécessaires ont été ajoutés à l’incident de sécurité.
    • Pour l’étape 21 (Demander l’approbation), remplacez le groupe d’Affectation d’incident de sécurité par votre groupe préféré.
    • L’étape 21 du flux est une étape d’approbation de tâche obligatoire où une demande d’approbation est envoyée à l’administrateur. Pour approuver la demande, l’administrateur doit accéder à la page Approbations des tâches et définir le champ État sur Approuvé. Si la tâche n’est pas approuvée, le concepteur de flux ne peut pas poursuivre et le processus se termine.

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une activité de code malveillant est détectée dans le réseau, un incident de sécurité est créé et le flux automatisé du playbook de programme malveillant est lancé. Vous pouvez utiliser les tâches définies dans le flux du playbook automatisé de programme malveillant pour trier, analyser, contenir et éradiquer la menace.

    Procédure

    1. Accédez à la Tous > Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations.
    2. Cliquez sur le lien Incident de sécurité - Playbook de programme malveillant automatisé - Modèle VI .
    3. Sur la page Flux, cliquez sur l’icône Plus, faites une copie du flux et ouvrez-le pour votre utilisation.
      Vous pouvez maintenant apporter des changements à votre flux, tels que la modification des conditions ou des actions de déclenchement, ou l’ajout et la suppression d’actions.Modèle de Playbook de programme malveillant automatisé

      Le déclencheur et les étapes qui seront exécutées avec le flux s’affichent. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.

    4. Cliquez sur l’icône Déclencher .
      Dans la première étape, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions pour le déclencheur et la tâche à effectuer lorsque les conditions sont remplies.Flux du playbook automatisé de programme malveillant : déclencheur

      Lorsque la condition définie dans le flux (la catégorie est Activité de code malveillant) est remplie dans l’enregistrement d’incident, les tâches du flux d’hameçonnage automatisé commencent à s’exécuter séquentiellement. Vous pouvez modifier le déclencheur, ajouter des annotations, ajouter ou supprimer des conditions, etc.

    5. La première étape du flux consiste à mettre à jour l’enregistrement d’incident de sécurité.
      Flux de playbook automatisé de programme malveillant : étape 1

      Cliquez sur le lien, puis sur l’icône d’annotation Icône d’annotation pour ajouter une note à l’analyste de sécurité indiquant qu’il y a eu une activité de code malveillant et que le flux automatisé du playbook de réponse aux programmes malveillants a commencé à s’exécuter.

    6. Poursuivez avec l’étape 2 du flux et cliquez sur le lien Créer une tâche .

      Dans cette étape, une tâche de réponse automatisée est créée pour vérifier si tous les observables nécessaires ont été capturés et si l’enquête peut commencer.

      Flux de playbook automatisé de programme malveillant : étape 2

    7. Si le type de résultat est Non, cela indique qu’aucun observable ou CI n’est disponible pour initier l’enquête.
      Mettez à jour l’enregistrement d’incident de sécurité pour indiquer que le playbook ne peut pas aller plus loin.
    8. Si le type de résultat est Oui, le flux secondaire Définir la gravité de l’incident affecte automatiquement la gravité correcte à l’incident de sécurité.
    9. À l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour.
    10. À l’étape suivante, tous les observables impliqués dans l’incident ou une catégorie sélectionnée sont collectés pour effectuer des actions automatisées supplémentaires dans les étapes suivantes du playbook.
    11. À l’étape suivante, une tâche de réponse automatisée est créée.
      Cette tâche capture le début du processus d’obtention de la réputation de tous les observables et d’enrichissement avec des intégrations configurées.
    12. À l’étape 8, deux flux secondaires sont appelés :
      • Exécuter des recherches de menace pour les observables : ce flux secondaire est utilisé pour obtenir la réputation de tous les observables à l’aide d’implémentations de la recherche de menace.
      • Enrichir les observables : ce flux secondaire permet d’enrichir les observables avec des implémentations configurées.

      Flux de playbook automatisé de programme malveillant : étape 8

      Notez les icônes de cette tâche. L’icône Opérations parallèles L’icône Opérations parallèles indique que les deux tâches seront exécutées en parallèle et l’icône de flux secondaire L’icône de flux secondaire indique que la tâche effectuée est un flux secondaire, comme indiqué ci-dessous :

      Flux de playbook automatisé de logiciel malveillant : étape 8.1.1

      Notez le nombre 5 dans le champ Observables. Cela indique que la recherche de menace sera exécutée sur les observables récupérés à l’étape 5. Ce flux secondaire appelle à son tour les workflows et actions existants.

    13. L’étape suivante consiste à exécuter l’action Exécuter la recherche d’enregistrements.
      Cette action est utilisée pour rechercher des enregistrements de contexte de workflow dans lesquels les workflows parents peuvent être l’un des suivants.
      • Contexte de workflow abstrait de la recherche de menace
      • Contexte de workflow abstrait d'enrichissement d'observable
    14. À l’étape suivante, les résultats de réputation et d’enrichissement sont examinés tous les 8 enregistrements.
    15. Passez en revue les étapes suivantes :
      1. Mettre à jour l’enregistrement d’incident de sécurité : met à jour l’enregistrement d’incident de sécurité pour indiquer que les activités de recherche et d’enrichissement de la réputation ont été terminées.
      2. Obtenir les observables à partir de la tâche : récupère tous les observables malveillants associés à l’incident de sécurité.
      3. Créer une tâche : vérifie et confirme si les exécutions de triage automatisées ont réussi.
    16. S’il existe des observables qui ont été marqués comme malveillants :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publiez une note de travail indiquant qu’une menace a été détectée.
      2. Créer une requête d’entrée à partir d’observables : si plus de dix observables ont été marqués comme malveillants, le flux secondaire Recherche de perception sur les observables (sur Splunk ou Carbon Black) est exécuté.
    17. Si les observables ne sont pas marqués comme malveillants, le flux continue avec les étapes suivantes :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publier une note de travail indiquant qu’aucune menace n’a été détectée
      2. Obtenir les observables à partir de la tâche : identifie tous les ID de hachage SHA256 de l’incident.
      3. Rechercher des enregistrements d’observables : recherche des enregistrements qui répondent à ce critère.
    18. Passez en revue les étapes suivantes :
      1. Pour chaque observable malveillant, le workflow Security Operations Palo Alto Networks - Get Wildfire Data Enrichment est exécuté.
      2. Examine les résultats de l’enquête pour voir s’ils sont satisfaisants.
        Une tâche de réponse est créée pour vérifier si le programme malveillant suspecté est une attaque de rançongiciel. Si oui, le flux secondaire du Playbook de rançongiciel est exécuté.
      3. À l’étape suivante, un e-mail est envoyé avec un résumé de l’analyse et une demande d’approbation pour lancer les procédures de confinement.
      4. Une tâche est créée pour capturer les détails de l’approbation demandée.
      5. L’étape suivante consiste à mettre à jour l’enregistrement d’incident de sécurité.
        Publiez une note de travail informant l’analyste de sécurité que la demande d’approbation a été effectuée.
      6. Demande l’approbation de maîtrise des attaques de programmes malveillants à votre gestionnaire SOC.
        Étape 21
        Remarque :
        Lorsqu’une demande d’approbation est générée par le flux, la note de travail est mise à jour avec le message suivant :
        Une demande d’approbation a été faite pour <ID de tâche> la poursuite de l’imbrication. Pour approuver cette tâche, en tant que gestionnaire SOC, procédez manuellement comme suit :
        • Accédez à la page Approbations des tâches.
        • Vous verrez la liste des approbations. Cliquez sur l'<ID de la tâche> à approuver.
        • Changez l’état sur Approuver et enregistrer l'<ID de tâche> mis à jour.
      7. À l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour pour suivre le statut d’approbation.
      8. Ensuite, une tâche est créée pour lancer les procédures de confinement.
      9. Le flux secondaire Exécuter la création de demandes de bloc pour les observables malveillants est exécuté et un enregistrement d’incident est créé avec une demande de reconstruction de l’appareil infecté et de ses actifs.
      10. Ensuite, une tâche est créée pour exécuter la recherche de perceptions afin de confirmer si l’environnement est sécurisé.
        La recherche d’observations est répétée jusqu’à ce qu’aucune observation ne soit trouvée.
      11. Ensuite, une tâche est créée pour indiquer que l’enregistrement d’incident de sécurité est prêt à être examiné.
      12. Enfin, l’enregistrement est mis à jour et déplacé vers l’étape Examen.

    Que faire ensuite

    Vous pouvez cliquer sur Tester pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, cliquez sur Activer pour activer le flux afin qu’il puisse être exécuté.

    Cliquez sur Exécutions pour afficher les détails d’exécution du flux.

    Flux du playbook de programme malveillant automatisé : exécution