Utiliser le playbook de détection de répétition

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Utilisez ce playbook pour vérifier si la réponse à un incident a été fournie sur un rapport d’hameçonnage exact ou similaire dans le passé et fonctionne automatiquement sur le nouveau rapport de la même manière. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook de détection des répétitions.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, le playbook récupère la date relative de l’incident de sécurité à l’aide de la configuration du jour.
    2. Dans l’action 2, le playbook recherche les enregistrements d’observables de tâche sur la table sn_ti_m2m_task_observable qui correspondent à l’incident en fonction de l’ID du message.
      Figure 1. Playbook de détection de répétition
      Rechercher les enregistrements d’observables de tâche en fonction de l’ID du message.
    3. Dans l’action 3, le playbook compare les observables de tâche et le corps de l’e-mail à l’aide de l’algorithme de Levenshtein pour les incidents qui correspondaient à l’ID du message.
    4. Dans l’action 4, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie si l’incident correspondant est trouvé en fonction de l’ID du message ou non.
      Dans l’action 5, si l’incident correspondant est trouvé, le playbook met automatiquement à jour la note de travail indiquant qu’une correspondance a été trouvée en fonction de l’automatisation de la détection de répétition. Dans l’action 6, le flux s’arrête.
    5. Si l’incident correspondant est introuvable, dans l’action 7, le playbook recherche les enregistrements d’observables de tâche sur la table sn_ti_m2m_task_observable qui correspondent à l’incident en fonction de l’objet.
    6. Dans l’action 8, le playbook compare les observables de tâche et le corps de l’e-mail à l’aide de l’algorithme de Levenshtein pour les incidents qui correspondaient à l’objet.
    7. Dans l’action 9, le playbook vérifie si l’incident correspondant est trouvé ou non.
      Dans l’action 10, si l’incident correspondant est trouvé, le playbook met automatiquement à jour la note de travail indiquant qu’une correspondance a été trouvée en fonction de l’automatisation de la détection de répétition. Dans l’action 11, le flux s’arrête.
      Figure 2. Incident correspondant
      Lorsque l’incident correspondant est trouvé, les notes de travail sont mises à jour.
    8. Dans l’action 12, le playbook recherche les enregistrements d’observables de tâche dans les sn_ti_m2m_task_observable de table qui correspondent à l’incident en fonction de l’adresse.
    9. Dans l’action 13, le playbook compare les observables de tâche et le corps de l’e-mail à l’aide de l’algorithme de Levenshtein pour les incidents qui correspondaient à l’adresse.
    10. Dans l’action 14, le playbook vérifie si l’incident correspondant est trouvé en fonction de l’adresse ou non.
      Dans l’action 15, si l’incident correspondant est trouvé, le playbook met automatiquement à jour la note de travail indiquant qu’une correspondance a été trouvée en fonction de l’automatisation de la détection de répétition. Dans l’action 16, le flux s’arrête.