Verwenden Sie das Playbook für Wiederholungserkennung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um zu untersuchen, ob die Reaktion auf Incidents in der Vergangenheit für einen genauen oder ähnlichen Phishing-Bericht bereitgestellt wurde und automatisch ähnlich am neuen Bericht arbeitet. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im Playbook „Wiederholungserkennung“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, ruft das Playbook in Aktion 1 das relative Datum des Security Incident mithilfe der Tageskonfiguration ab.
    2. In Aktion 2 sucht das Playbook nach den Datensätzen des erkennbaren Aufgabenelements in der Tabelle sn_ti_m2m_Task_Observable Die dem Incident basierend auf der Nachrichten-ID entsprechen.
      Abbildung : 1. Playbook für Wiederholungserkennung
      Suchen Sie Datensätze erkennbarer Aufgabenelemente basierend auf der Nachrichten-ID.
    3. In Aktion 3 vergleicht das Playbook die erkennbaren Aufgaben und den E-Mail-Text mithilfe des Levenshtein-Algorithmus für Incidents, die der Nachrichten-ID entsprechen.
    4. In Aktion 4 überprüft das Playbook basierend auf der bisher durchgeführten Untersuchung, ob der übereinstimmende Incident basierend auf der Nachrichten-ID gefunden wird oder nicht.
      Wenn in Aktion 5 der übereinstimmende Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz, dass eine Übereinstimmung gefunden wurde, basierend auf der Automatisierung für die Wiederholungserkennung. In Aktion 6 endet der Flow.
    5. Wenn der übereinstimmende Incident nicht gefunden wird, sucht das Playbook in Aktion 7 nach den Datensätzen des erkennbaren Aufgabenelements in der Tabelle sn_ti_m2m_Task_Observable Die dem Incident basierend auf dem Betreff entsprechen.
    6. In Aktion 8 vergleicht das Playbook die erkennbaren Aufgabenelemente und den E-Mail-Text mithilfe des Levenshtein-Algorithmus für Incidents, die dem Betreff entsprechen.
    7. In Aktion 9 überprüft das Playbook, ob der übereinstimmende Incident gefunden wurde oder nicht.
      Wenn in Aktion 10 der übereinstimmende Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz, dass eine Übereinstimmung gefunden wurde, basierend auf der Automatisierung für die Wiederholungserkennung. In Aktion 11 endet der Flow.
      Abbildung : 2. Übereinstimmender Incident
      Wenn der übereinstimmende Incident gefunden wird, werden die Arbeitsnotizen aktualisiert.
    8. In Aktion 12 sucht das Playbook nach den Datensätzen des erkennbaren Aufgabenelements in der Tabelle sn_ti_m2m_Task_Observable Die dem Incident basierend auf der Adresse entsprechen.
    9. In Aktion 13 vergleicht das Playbook die erkennbaren Aufgabenelemente und den E-Mail-Text mithilfe des Levenshtein-Algorithmus für Incidents, die der Adresse entsprechen.
    10. In Aktion 14 überprüft das Playbook, ob der übereinstimmende Incident basierend auf der Adresse gefunden wird oder nicht.
      Wenn in Aktion 15 der übereinstimmende Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz, dass eine Übereinstimmung gefunden wurde, basierend auf der Automatisierung für die Wiederholungserkennung. In Aktion 16 endet der Flow.