Resolva ameaças de segurança com o playbook

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

9 min. de leitura

Use o playbook para resolver determinados tipos de ameaças de segurança passo a passo. Por exemplo, você pode resolver ataques de phishing e ameaças causados por atividades de código mal-intencionado usando playbooks.

Antes de Iniciar

Função necessária: sn_si.admin ou admin

Por Que e Quando Desempenhar Esta Tarefa

Cada grupo de tarefas (Análise, Conter e assim por diante) orienta você por uma série de perguntas e outras atividades para resolver a ameaça.

Exemplo de playbook — Figura 1. Playbook

Ao trabalhar em cada tarefa, insira anotações de trabalho para ajudar a analisar ataques semelhantes no futuro. Depois que uma ameaça é identificada, você também pode usar as informações no playbook para colocar a ameaça em quarentena, isolar ativos afetados de forma semelhante e remover malware.

Os artigos de conhecimento, incluídos em cada tarefa, fornecem dicas e outras informações para ajudar você a executar as etapas necessárias.

artigo de conhecimento em suporte à tarefa de phishing — Figura 2. Artigos de conhecimento

O sistema de base inclui artigos de conhecimento para cada uma das tarefas do playbook. Você pode, no entanto, escreva seus próprios artigos de conhecimento e. associe-os a tarefas do playbook .

Nota:

Para obter um exemplo de como usar o playbook para analisar e resolver uma ameaça específica, consulte Resolvendo ataques de phishing relatados pelo usuário com o playbook.

Procedimento

Navegar até Tudo > Incidente de segurança > Incidentes (Nova IU).
A tela Incidentes de segurança mostra os incidentes de segurança que foram atribuídos a você.
Você pode clicar em Atribuído a mim lista de seleção para selecionar um filtro diferente, como todos os incidentes em aberto ou todos os incidentes não atribuídos.
Como alternativa, você pode clicar em um dos Filtros Rápidos para exibir incidentes de segurança de um tipo específico, como Somente Incidentes Críticos.
Clique no incidente de segurança que você deseja analisar.

Considere priorizar incidentes de segurança com alto pontuações de risco .
Se o painel do playbook na borda direita da tela estiver fechado, clique no ícone do playbook ( ) para abri-lo.
Se nenhum playbook for atribuído ao incidente de segurança, você poderá selecionar um playbook na lista de seleção do playbook selecionado, conforme mostrado abaixo:

Você também pode atribuir um playbook diferente ao incidente de segurança. Para incluir um playbook na lista de seleção do playbook selecionado ou para mudar o playbook para um incidente de segurança, consulte Habilite playbooks para seleção de analistapara obter detalhes.

O playbook específico para o tipo de ameaça de segurança é aberto. É dividido em categorias de tarefas semelhantes. Por exemplo, você usa as tarefas no Análise grupo para determinar a validade e o escopo da ameaça. . Conter o grupo inclui tarefas para isolar a ameaça a um usuário ou ativo específico. As tarefas no Erradicar o grupo orienta você pelo processo de remoção do malware ou recriação da imagem do host.
Clique no primeiro grupo ( Análise ) e clique na primeira tarefa no playbook.
Siga as instruções na tarefa.
- Algumas tarefas fazem uma pergunta, como "O e-mail faz parte da campanha?" Execute a análise necessária para responder à pergunta e selecione Sim ou Não .
- Se você tiver artigos de conhecimento definidos e associados a tarefas do playbook , os artigos aparecem quando você começa a trabalhar em uma tarefa.
- Algumas tarefas são transicionais. Eles simplesmente instruem você a executar uma ação, como adicionar observáveis a um incidente de segurança. Após concluir a ação, clique em Marcar como concluído .
À medida que você conclui as tarefas, as tarefas subsequentes são apresentadas a você com base nas escolhas feitas. Grupos esmaecidos (como Recuperar , Revisão e assim por diante) pode ser ativado por suas escolhas.
Continue trabalhando em cada tarefa apresentada a você até concluir todas as tarefas para resolver a ameaça e encerrar o incidente de segurança.

Resolvendo ataques de phishing relatados pelo usuário com o playbook

O playbook de phishing orienta você pelas tarefas necessárias para analisar e resolver um ataque de phishing relatado por um dos funcionários da sua empresa.

Como os incidentes de segurança são criados a partir de ataques de phishing relatados pelo usuário

Durante a configuração da Resposta a incidentes de segurança, o administrador do sistema cria uma série de regras de correspondência de e-mail que pode identificar e-mails que contêm sinais de um ataque de phishing. Quando os funcionários recebem um e-mail suspeito que contém os sinais comuns de um ataque de phishing (conforme definido por suas políticas de segurança), eles podem enviá-lo como um anexo .eml para o endereço de e-mail de phishing definido pela sua organização.

Quando o e-mail é recebido no endereço de e-mail de phishing, o anexo .eml é analisado e suas informações são comparadas com as regras de correspondência de e-mail. Se uma correspondência for encontrada, um incidente de segurança que contém as seguintes informações será criado:

A descrição resumida inclui phishing relatado pelo usuário, seguido pelo assunto real do e-mail de origem.
O arquivo .eml está anexado ao incidente de segurança.
Se o .eml contiver observáveis, eles serão analisados e as pesquisas de aprimoramento e ameaças serão realizadas automaticamente.

Incidente de segurança de phishing relatado pelo usuário — Figura 3. Phishing relatado pelo usuário

Quando um incidente de segurança da categoria de phishing é aberto, o playbook de phishing fica automaticamente disponível. Basta clicar no ícone do playbook (

) para abrir o playbook.

Painel do playbook de phishing — Figura 4. Playbook de phishing

O playbook de phishing contém tarefas para ajudar você a analisar, conter e erradicar uma ameaça de phishing. As tarefas são organizadas em estados (por exemplo, Análise , Conter e assim por diante). Quando todas as tarefas de um estado tiverem sido concluídas, o playbook orientará você para o próximo estado.

Analisando detalhes do incidente de segurança

Quando o incidente de segurança está no estado Análise, você recebe tarefas para executar a investigação básica do incidente, incluindo:

Determinando a validade do incidente.
Estudar o impacto da ameaça potencial.
Coordenando uma resposta eficaz ao incidente.

Ao trabalhar nas tarefas:

Familiarize-se com os artigos de conhecimento.
Abra o anexo de e-mail e examine-o em busca de sinais de elementos comuns de phishing.
Revise os resultados da pesquisa de ameaças.

Que contém o incidente de segurança

Quando o incidente de segurança está em Conter estado, você recebe tarefas para revisar os detalhes do e-mail. Para garantir que as ameaças não entrem em sua organização, atualize suas defesas de rede, na forma de assinaturas e regras do Sistema de defesa contra invasão (IDS) e do Sistema de prevenção contra invasão (IPS).

Ao trabalhar nas tarefas:

Tome ações para limitar os impactos da ameaça, como isolar os dispositivos afetados.
Examine os observáveis anexados ao e-mail.
Determine se algum conteúdo de e-mail está associado a uma ameaça conhecida, incluindo:
- URL
- Remetente do e-mail
- URL de phishing
- Endereço IP do servidor SMTP do remetente

Erradicar o malware

Depois de implantar assinaturas e regras atualizadas em sua solução antivírus, use as tarefas no Erradicar estado para determinar se o malware está presente e manipulá-lo adequadamente.

Conforme você trabalha nas tarefas:

Verifique os endpoints dos dispositivos afetados quanto à presença de malware.
Remova qualquer malware encontrado.
Como último recurso, limpe e recrie a imagem dos dispositivos host.

Revisando o incidente de segurança

Se você tiver determinado que um ataque de phishing foi um alarme falso ao executar as tarefas de análise, o incidente de segurança será movido para Revisão e você precisa notificar seus usuários para que eles saibam que é seguro abrir o anexo de e-mail.

Fechando o incidente de segurança

Quando todas as tarefas no playbook tiverem sido concluídas, o incidente de segurança será movido para Encerrado estado. Você deve inserir comentários de encerramento antes que o incidente possa ser encerrado.

Cancelando um incidente de segurança

Quando um incidente de segurança está em Revisão e você informou com sucesso seus usuários que o e-mail não é uma ameaça, o. Cancelado o estado se torna ativo e você pode cancelar o incidente de segurança.

Nota:

A tarefa de recuperação não é usada no playbook de phishing.

Associe um artigo de conhecimento a uma tarefa do playbook

À medida que você analisa ameaças de segurança usando o. Resposta a incidentes de segurançaplaybook, você pode exibir artigos de conhecimento para cada tarefa, se definido pela sua organização. Se os artigos de conhecimento não estiverem presentes, você poderá criá-los e associá-los a tarefas do playbook.

Antes de Iniciar

Ao usar o playbook em Resposta a incidentes de segurança, anote o texto associado a cada tarefa. Por exemplo, a primeira tarefa na categoria Phishing é O alerta do funcionário foi enviado? Esta é a descrição resumida da tarefa e você precisa deste texto (exatamente como ele aparece no playbook) para associar um artigo de conhecimento à tarefa.

Função necessária: sn_sir.knowledge_admin e sn_si.admin ou admin

Procedimento

Navegar até Tudo > Incidente de segurança > Catálogo e Conhecimento > Conhecimento.
Crie e publique um artigo de conhecimento para uma tarefa específica do playbook.
Navegar até Incidente de segurança > Runbook manual > Criar novo runbook.

Crie um runbook, preenchendo as seguintes informações:


Campo	Descrição
Artigo de conhecimento	Selecione o artigo de conhecimento publicado que você deseja associar à tarefa do playbook.
Tabela	Selecione Resposta a incidentes de segurançaTarefa [sn_si_task].
Condição	Defina o construtor de condições como: Opção: Selecione Descrição resumida . Operador: Selecione é . Valor de entrada: Insira a descrição resumida da tarefa, exatamente como ela aparece no playbook.

Clique em Enviar.
Na próxima vez que você executar o playbook e selecionar esta tarefa, o artigo de conhecimento associado será exibido.

Adicione uma tarefa personalizada ao playbook

. Espaço do analista de segurançao sistema de base inclui uma série de tarefas para cada categoria de ameaça. Você pode criar tarefas personalizadas que atendam às necessidades exclusivas do seu sistema ou clientes.

Antes de Iniciar

Função necessária: sn_si.basic ou security_admin

Procedimento

Com o playbook aberto, clique em Adicionar tarefa .

A tela Adicionar tarefa personalizada é aberta.

Preencha os campos, conforme necessário.


Campo	Descrição
Número	[Somente leitura] O número da tarefa de incidente de segurança gerado automaticamente.
Primário	O número do incidente de segurança relacionado.
Item de configuração	O item de configuração afetado pelo problema de segurança, se houver.
Usuário afetado	O usuário afetado pelo problema de segurança, se houver.
Prioridade	Selecione a prioridade usada para determinar quando esta tarefa deve ser executada.
Estado do Incidente de segurança	O estado atual da tarefa de resposta de segurança. Você pode selecionar um estado futuro, se necessário.
Tipo de resultado	Se você tiver a função sn_si.basic, selecione Sim/Não como o tipo de resultado. Se você tiver a função security_admin, poderá criar um tipo de resultado personalizado com vários valores de saída personalizados. Por exemplo, você pode definir uma tarefa com valores dependentes com base na categoria de ameaça. Para obter mais informações, consulte Listas de seleção
Grupo de atribuição	O grupo de atribuição do qual o trabalhador atribuído será selecionado.
Atribuição a	O indivíduo atribuído para executar a tarefa.
Descrição resumida	Uma descrição da tarefa do playbook de incidente de segurança.
Descrição	Insira uma descrição para a tarefa selecionada.

Após concluir as entradas, clique em Adicionar tarefa .
A tarefa é inserida no playbook após a tarefa atual.