Playbook-Aktionen für Security Incident Response
In diesem Abschnitt werden die Aktionen beschrieben, die in der Flow Designer-Aktionsbibliothek bereitgestellt werden.
| Aktionsname | Beschreibung | Beispielszenario | |
|---|---|---|---|
| Fügen Sie dem Security Incident ein Sicherheits-Tag hinzu | Verwenden Sie diese Aktion, um mithilfe der Flow Designer-Logik automatisch ein Sicherheits-Tag hinzuzufügen. | Wenn der Flow ein IOC erkennt, wird der IOC erkannt Tag kann mit dieser Aktion automatisch hinzugefügt werden. Flow : |
|
| Fügen Sie dem Security Incident erkennbare Elemente hinzu | Verwenden Sie diese Aktion, um einem ausgewählten Security Incident erkennbare Elemente hinzuzufügen.
|
|
|
| Ruft betroffene Anwender (zugehörige Listen) aus mehreren Security Incidents ab V1 | Ruft alle betroffenen Anwender ab, die in der zugehörigen Liste Betroffene Anwender für die angegebenen Security Incidents aufgeführt sind. | Sie können übergeordnete Security Incidents mit mehreren untergeordneten Security Incidents haben. Verwenden Sie diese Aktion, um ein Rollup für betroffene Anwender aus allen untergeordneten Security Incidents zu den entsprechenden übergeordneten Security Incidents durchzuführen. Nur eindeutige betroffene Anwender werden zusammengefasst, und alle Duplikate werden entfernt. |
|
| Ruft betroffene Anwender aus mehreren Security Incidents ab | Ruft den primären betroffenen Anwender für den angegebenen Security Incident ab. Die betroffenen Anwender aus der zugehörigen Liste Betroffene Anwender sind nicht enthalten. |
|
|
| Ruft betroffene Anwender (zugehörige Liste) aus einem Security Incident ab | Ruft alle betroffenen Anwender ab, die in der zugehörigen Liste Betroffene Anwender für einen angegebenen Security Incident aufgeführt sind. |
|
|
| Fügen Sie dem Security Incident betroffene Anwender hinzu | Fügt alle betroffenen Anwender einem Security Incident hinzu. | Angenommen, Sie haben einen übergeordneten Security Incident mit mehreren untergeordneten Security Incidents. Sie können diese Aktion verwenden, um betroffene Anwender aus allen untergeordneten Security Incidents zum entsprechenden übergeordneten Security Incident zusammenzufassen. Nur eindeutige betroffene Anwender werden zusammengefasst, und alle Duplikate werden entfernt. |
|
| Rufen Sie Konfigurationselemente der betroffenen Anwender ab | Ruft die Konfigurationselemente (Configuration Items, CIs) aller betroffenen Anwender ab. | In Phishing- oder Malware-Szenarien können Sie diese Aktion verwenden, um die zugehörige Liste Betroffene Configuration Items (CI) zu aktualisieren und die CIs zu untersuchen. Sie können dann den Schweregrad oder die Risikopunktzahl des Security Incidents basierend auf der Anzahl der identifizierten CIs aktualisieren. |
|
| Ruft alle untergeordneten Security Incidents für einen Security Incident ab | Ruft alle untergeordneten Security Incidents ab, die sich auf einen bestimmten übergeordneten Security Incident beziehen. | Beispielszenario: Verwenden Sie diese Aktion, um:
|
|
| Konfigurationselemente für die erkennbaren Elemente abrufen (IP-Adresse eingeben) | Ruft alle Konfigurationselemente (Configuration Items, CIs) für erkennbare Elemente vom Typ „IP-Adresse“ ab. | Ein erkennbares IP-Adresse kann einem Konfigurationselement zugeordnet werden. Zum Beispiel die IP-Adresse eines Servers. Wenn Sie diese Aktion verwenden, können Sie Informationen für den Server abrufen. |
|
| Ist erkennbares Element böswillig | Bestätigt das Vorhandensein eines oder mehrerer schädlicher erkennbarer Elemente in einer Reihe von erkennbaren Elementen. | Nachdem die Bedrohungssuche abgeschlossen wurde und Sie das Vorhandensein schädlicher erkennbarer Elemente identifiziert haben, können Sie den Schweregrad oder die Risikopunktzahl eines Security Incidents erhöhen. |
|
| Senden Sie eine E-Mail, um die Anwenderinteraktion zu bestätigen | Sendet eine E-Mail als Antwort auf eine Anwenderantwort. | Wenn ein Anwender mehrmals versucht, sich bei einer Anwendung anzumelden, führt dies zu einem fehlgeschlagenen Anmeldeszenario. In diesem Fall wird eine E-Mail an den Anwender gesendet, um zu bestätigen, ob der Anwender versucht hat, sich anzumelden oder nicht. Je nach Anwenderantwort (Ja oder Nein) können verschiedene Aktionen ausgeführt werden. Flow : Manuelles Playbook für fehlgeschlagene Anmeldung |
|
| Filtern Sie erkennbare Elemente der zulässigen Liste heraus | Verwenden Sie diese Aktion, um das Auflisten erkennbarer Elemente aus einem bestimmten Satz erkennbarer Elemente zuzulassen. | Sie können bestimmte erkennbare Elemente identifizieren, die aus einer Reihe erkennbarer Elemente ignoriert werden können. Diese erkennbaren Elemente werden bei der Lösung des Security Incident nicht berücksichtigt. |
|
| Passwort für betroffene Anwender zurücksetzen | Verwenden Sie diese Aktion, um das Passwort für betroffene Anwender zurückzusetzen. | Wenn ein Anwenderaccount gehackt wurde oder ein Anwender die Zurücksetzung eines Passworts anfordert, wird eine E-Mail an den Anwender gesendet, um das Passwort zurückzusetzen. Flow : Manuelles Playbook für fehlgeschlagene Anmeldung. |
|
| Anwendergruppe für betroffenen Anwender abrufen | Ruft die Anwendergruppendetails der betroffenen Anwender ab. | Wenn in einer Organisation zwei oder mehr Anwender Phishing-E-Mails melden, können Sie die Gruppe herausfinden, zu der sie gehören, und feststellen, ob weitere Anwender betroffen waren |
|