Führen Sie den automatisierten Malware-Playbook-Flow aus

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Verwenden Sie diesen Flow, um Aufgaben im Playbook zu automatisieren, um Malware-Angriffe auf Ihre Organisation zu analysieren und zu beheben.

    Vorbereitungen

    • Erforderliche Rolle: sn_si.admin, Flow_Designer und action_Designer
    • Installieren und konfigurieren Sie die folgenden Integrationen mit den richtigen Anmeldeinformationen:
      • Palo Alto Networks Wildfire für Security Operations
      • Sichtungssuche (Splunk)
      • Anforderungen Blockieren
      • Bedrohungssuche
      • Erkennbare Elemente ergänzen

      Vergewissern Sie sich, dass diese Integrationen ordnungsgemäß funktionieren Aktivieren Die Playbook-Vorlage für Security Incident – automatisierte Malware.

    • Security Operations Palo Alto Networks Wildfire-App: Um auf den automatisierten Malware-Playbook-Flow zuzugreifen, müssen Sie die App Security Operations Spoke und Security Operations Palo Alto Networks – Wildfire aus dem installieren ServiceNow Store. Wenn die Security Operations Palo Alto Networks Wildfire-App nicht installiert ist, wird der Fehler „Workflow für Aktionsnummer 15.4.1 nicht gefunden“ angezeigt, wie unten gezeigt:

      Fehlermeldung der Palo Alto Networks Wildfire-App

      Wenn Sie diese App nicht installieren möchten, löschen Sie die Schritte 15.2, 15.3 und 15,4 Aus dem automatisierten Malware-Playbook-Flow.

    • Stellen Sie sicher, dass die folgenden Bedingungen erfüllt wurden:
      • Der Security Incident wurde einem Sicherheitsanalysten zugewiesen, der der entsprechenden Genehmigungsgruppe angehört.
      • Der Sicherheitsanalyst, der den Incident bearbeitet, muss über eine gültige E-Mail-Adresse verfügen.
      • Die erforderlichen Konfigurationselemente und erkennbaren Elemente wurden dem Security Incident hinzugefügt.
    • Für Schritt 21 (Genehmigung anfordern) , Ändern Sie die Gruppe von Security Incident-Zuweisung An Ihre bevorzugte Gruppe.
    • Schritt 21 des Flows ist ein obligatorischer Aufgabengenehmigungsschritt, bei dem eine Genehmigungsanforderung an den Administrator gesendet wird. Um die Anforderung zu genehmigen, muss der Administrator zur Seite „Aufgabengenehmigungen“ navigieren und das Feld Status auf festlegen Genehmigt . Wenn die Aufgabe nicht genehmigt wird, kann der Flow Designer nicht fortfahren, und der Prozess endet.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn eine schädliche Codeaktivität im Netzwerk erkannt wird, wird ein Security Incident erstellt, und der automatisierte Malware-Playbook-Flow wird gestartet. Sie können die im automatisierten Malware-Playbook-Flow definierten Aufgaben verwenden, um die Bedrohung zu selektieren, zu analysieren, einzudämmen und zu beseitigen.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer Zum Anzeigen der mit der Security Operations-Spoke verfügbaren Flows.
    2. Klicken Sie auf Security Incident – automatisierte Malware-Playbook-Vorlage VI Link.
    3. Klicken Sie auf der Flow-Seite auf das Symbol mehr Symbol „mehr“, Erstellen Sie eine Kopie des Flows, und öffnen Sie ihn für Ihre Verwendung.
      Sie können jetzt Änderungen an Ihrem Flow vornehmen, z. B. Auslöserbedingungen oder -Aktionen ändern oder Aktionen hinzufügen und entfernen.Automatisierte Malware-Playbook-Vorlage

      Dies zeigt den Auslöser und die Schritte, die mit dem Flow ausgeführt werden. Im rechten Bereich wird der Daten-Flow angezeigt. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.

    4. Klicken Sie auf Auslöser Symbol.
      Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser und die Aufgabe an, die ausgeführt werden sollen, wenn die Bedingungen erfüllt sind.Automatisierter Malware-Playbook-Flow: Auslöser

      Wenn die im Flow definierte Bedingung (Kategorie ist böswillige Code-Aktivität) im Incident-Datensatz erfüllt ist, werden die Aufgaben im automatisierten Phishing-Flow sequenziell ausgeführt. Sie können den Auslöser ändern, Anmerkungen hinzufügen, Bedingungen hinzufügen oder löschen usw.

    5. Der erste Schritt im Flow ist Aktualisieren Sie Den Security Incident-Datensatz .
      Automatisierter Malware-Playbook-Flow: Schritt 1

      Klicken Sie auf den Link und dann auf das Anmerkungssymbol AnmerkungssymbolUm dem Sicherheitsanalysten eine Notiz hinzuzufügen, die darauf hinweist, dass schädliche Code-Aktivitäten aufgetreten sind und der automatisierte Playbook-Flow für Malware-Antworten mit der Ausführung begonnen hat.

    6. Fahren Sie mit Schritt 2 im Flow fort, und klicken Sie auf Aufgabe Erstellen Link.

      In diesem Schritt wird eine automatisierte Antwortaufgabe erstellt, um zu überprüfen, ob alle erforderlichen erkennbaren Elemente erfasst wurden und ob die Untersuchung beginnen kann.

      Automatisierter Malware-Playbook-Flow: Schritt 2

    7. Wenn der Ergebnistyp ist Nein , Gibt an, dass keine erkennbaren Elemente und CIs zum Initiieren der Untersuchung verfügbar sind.
      Aktualisieren Sie den Security Incident-Datensatz, um anzugeben, dass das Playbook nicht fortfahren kann.
    8. Wenn der Ergebnistyp ist Ja , Der Subflow „Incident-Schweregrad festlegen“ weist dem Security Incident automatisch den richtigen Schweregrad zu.
    9. Im nächsten Schritt wird der Security Incident-Datensatz aktualisiert.
    10. Im nächsten Schritt werden alle am Incident oder einer ausgewählten Kategorie beteiligten erkennbaren Elemente erfasst, um in den nachfolgenden Playbook-Schritten zusätzliche automatisierte Aktionen auszuführen.
    11. Im nächsten Schritt wird eine automatisierte Antwortaufgabe erstellt.
      Diese Aufgabe erfasst den Beginn des Prozesses, bei dem die Reputation aller erkennbaren Elemente abgerufen und die Ergänzung mit konfigurierten Integrationen durchgeführt wird.
    12. In Schritt 8 werden zwei Subflows genannt:
      • Bedrohungssuchen für erkennbare Elemente ausführen: Dieser Subflow wird verwendet, um die Reputation aller erkennbaren Elemente mithilfe von Bedrohungssuche-Implementierungen abzurufen.
      • Erkennbare Elemente anreichern: Dieser Subflow wird verwendet, um die Anreicherung erkennbarer Elemente mit konfigurierten Implementierungen durchzuführen.

      Automatisierter Malware-Playbook-Flow: Schritt 8

      Beachten Sie die Symbole für diese Aufgabe. Das Symbol für parallele Vorgänge Symbol für parallele VorgängeGibt an, dass sowohl die Aufgaben parallel als auch das Subflow-Symbol ausgeführt werden Subflow-SymbolGibt an, dass die ausgeführte Aufgabe ein Subflow ist, wie unten gezeigt:

      Automatisierter Malware-Playbook-Flow: Schritt 8.1.1

      Beachten Sie die Zahl 5 im Feld erkennbare Elemente. Dies gibt an, dass die Bedrohungssuche für erkennbare Elemente ausgeführt wird, die in Schritt 5 abgerufen wurden. Dieser Subflow ruft wiederum vorhandene Workflows und Aktionen auf.

    13. Im nächsten Schritt wird die Aktion Datensätze suchen ausführen ausgeführt.
      Diese Aktion wird verwendet, um Workflow-Kontextdatensätze zu suchen, bei denen die übergeordneten Workflows einer der folgenden sein können.
      • Bedrohungssuche – abstrakter Workflow-Kontext
      • Anreicherung erkennbarer Elemente – abstrakter Workflow-Kontext
    14. Im nächsten Schritt werden die Reputation- und Ergänzungsergebnisse für alle 8 Datensätze überprüft.
    15. Überprüfen Sie die nächsten Schritte weiter:
      1. Security Incident-Datensatz aktualisieren: Aktualisiert den Security Incident-Datensatz, um anzugeben, dass die Reputationssuche- und Ergänzungsaktivitäten abgeschlossen wurden.
      2. Erkennbare Elemente aus Aufgabe abrufen: Ruft alle schädlichen erkennbaren Elemente ab, die dem Security Incident zugeordnet sind.
      3. Aufgabe erstellen: Überprüft und bestätigt, ob die automatisierten Selektierungsausführungen erfolgreich waren.
    16. Wenn erkennbare Elemente als schädlich gekennzeichnet wurden:
      1. Security Incident-Datensatz aktualisieren: Veröffentlichen Sie eine Arbeitsnotiz, die angibt, dass eine Bedrohung erkannt wurde.
      2. Eingabeabfrage aus erkennbaren Elementen erstellen: Wenn mehr als zehn erkennbare Elemente als schädlich gekennzeichnet wurden, wird der Subflow „Sichtungssuche nach erkennbaren Elementen“ (in Splunk oder Carbon Black) ausgeführt.
    17. Wenn die erkennbaren Elemente nicht als schädlich gekennzeichnet sind, wird der Flow mit den folgenden Schritten fortgesetzt:
      1. Security Incident-Datensatz aktualisieren: Veröffentlichen Sie eine Arbeitsnotiz, die angibt, dass keine Bedrohung erkannt wurde
      2. Erkennbare Elemente aus Aufgabe abrufen: Identifiziert alle SHA256-Hash-IDs aus dem Incident.
      3. Datensätze erkennbarer Elemente suchen: Sucht nach Datensätzen, die diese Kriterien erfüllen.
    18. Überprüfen Sie die nächsten Schritte weiter:
      1. Für jedes schädliche erkennbare Element Security Operations Palo Alto Networks – Wildfire-Datenanreicherung Abrufen Workflow wird ausgeführt.
      2. Überprüft die Untersuchungsergebnisse, um festzustellen, ob sie zufriedenstellend sind.
        Eine Antwortaufgabe wird erstellt, um zu überprüfen, ob es sich bei der vermuteten Malware um einen Ransomware-Angriff handelt. Wenn ja, wird der Subflow „Ransomware-Playbook“ ausgeführt.
      3. Im nächsten Schritt wird eine E-Mail mit einer Zusammenfassung der Analyse und der Anforderung zur Genehmigung zum Initiieren von Eindämmungsverfahren gesendet.
      4. Eine Aufgabe wird erstellt, um Details der angeforderten Genehmigung zu erfassen.
      5. Der nächste Schritt besteht darin, den Security Incident-Datensatz zu aktualisieren.
        Veröffentlichen Sie eine Arbeitsnotiz, die den Sicherheitsanalysten darüber informiert, dass die Genehmigungsanforderung gestellt wurde.
      6. Fordert die Genehmigung zur Eindämmung der Malware-Angriffe von Ihrem SOC-Manager an.
        Schritt 21
        Hinweis:
        Wenn vom Flow eine Genehmigungsanforderung generiert wird, wird die Arbeitsnotiz mit der folgenden Nachricht aktualisiert:
        Es wurde eine Genehmigungsanforderung für <task id> gestellt, um mit der Eindämmung fortzufahren. Um diese Aufgabe zu genehmigen, führen Sie als SOC-Manager die folgenden Schritte manuell aus:
        • Navigieren Sie zur Seite Aufgabengenehmigungen.
        • Sie sehen die Liste der Genehmigungen. Klicken Sie auf die <task id>, die genehmigt werden soll.
        • Ändern Sie den Status in Genehmigen Und speichern Sie die aktualisierte <task id>.
      7. Im nächsten Schritt wird der Security Incident-Datensatz aktualisiert, um den Genehmigungsstatus nachzuverfolgen.
      8. Als Nächstes wird eine Aufgabe erstellt, um Containment-Verfahren zu initiieren.
      9. Der Subflow „Blockanforderungen für schädliche erkennbare Elemente erstellen“ ausführen wird ausgeführt, und ein Incident-Datensatz wird mit einer Anforderung zum Neuaufbau des infizierten Geräts und seiner Assets erstellt.
      10. Als Nächstes wird eine Aufgabe erstellt, um die Sichtungssuche auszuführen, um zu bestätigen, ob die Umgebung sicher ist.
        Die Sichtungssuche wird wiederholt, bis keine Sichtungen gefunden werden.
      11. Als Nächstes wird eine Aufgabe erstellt, die angibt, dass der Security Incident-Datensatz zur Überprüfung bereit ist.
      12. Schließlich wird der Datensatz aktualisiert und in die Phase „Überprüfen“ verschoben.

    Nächste Maßnahme

    Sie können auf klicken Testen Um die Aktionen im Flow zu simulieren, bevor er veröffentlicht wird. Klicken Sie nach dem Testen des Flows auf Aktivieren Dient zum Aktivieren des Flows, damit er ausgeführt werden kann.

    Klicken Sie Auf Ausführungen Zum Anzeigen der Ausführungsdetails des Flows.

    Automatisierter Malware-Playbook-Flow: Ausführung