Ações do playbook de resposta a incidentes de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Esta seção descreve as ações fornecidas na biblioteca de ações do Flow Designer.

    Nome da Ação Descrição Cenário de exemplo
    Adicione um marcador de segurança ao incidente de segurança Use esta ação para adicionar um marcador de segurança automaticamente usando a lógica do Flow Designer. . Se o fluxo detectar um IOC, o. IOC detectado o marcador pode ser adicionado automaticamente usando esta ação.

    Fluxo :
    • Entrada: Incidente de segurança, marcador de segurança
    • Saída: Não aplicável
    Adicione observáveis ao incidente de segurança Use esta ação para adicionar observáveis a um incidente de segurança selecionado.
    • Por padrão, a lista de observáveis é separada pelo delimitador de vírgula (,), mas isso pode ser modificado. Você pode especificar outro caractere especial único como delimitador. Ao adicionar observáveis, o tipo (URL, endereço IP, hash) é definido automaticamente.
    • Quando os observáveis são adicionados ao incidente de segurança, o tipo (URL, endereço IP, hash) é definido automaticamente.
    • Quando os observáveis estão sendo adicionados, a opção Filtrar observáveis da lista permitida identifica observáveis da lista permitida e não os adiciona à lista relacionada de observáveis do incidente de segurança. Uma atividade automatizada do sistema (resposta) é adicionada para indicar que esses observáveis foram removidos.
    • Entrada:
      • incidente de segurança
      • observáveis
      • delimitador
      • filtrar observáveis da lista permitida e publicar anotação de atividade
    • Saída: Não aplicável
    Obter usuários afetados (listas relacionadas) de vários incidentes de segurança V1 Recupera todos os usuários afetados listados na lista relacionada Usuários afetados para os incidentes de segurança especificados. Você pode ter incidentes de segurança primários com vários incidentes de segurança secundários. Use esta ação para acumular usuários afetados de todos os incidentes de segurança secundários para os incidentes de segurança primários correspondentes. Somente usuários afetados exclusivos são acumulados e todas as duplicatas são eliminadas.
    • Entrada: Incidentes de segurança
    • Saída:
      • usuário afetado
      • contagem
    Obter usuários afetados de vários incidentes de segurança Recupera o usuário afetado primário do incidente de segurança especificado. Não inclui os usuários afetados da lista relacionada de usuários afetados.
    • Ao investigar um incidente de segurança de phishing, envie um e-mail para os usuários primários afetados (que relataram o incidente de phishing) para confirmar se algum dos usuários clicou nos links maliciosos no e-mail de phishing.
    • Atualize a gravidade do incidente de segurança primário ou a pontuação de risco com base na contagem de usuários primários afetados.
    • Entrada: Incidentes de segurança
    • Saída:
      • usuários afetados
      • contagem
    Obter usuários afetados (lista relacionada) de um incidente de segurança Recupera todos os usuários afetados listados na lista relacionada Usuários afetados para um incidente de segurança especificado.
    • Entrada: Incidentes de segurança
    • Saída:
      • usuários afetados
      • contagem
    Adicione usuários afetados ao incidente de segurança Adiciona todos os usuários afetados a um incidente de segurança. Suponha que você tenha um incidente de segurança primário com vários incidentes de segurança secundários. Você pode usar esta ação para acumular usuários afetados de todos os incidentes de segurança secundários para o incidente de segurança primário correspondente. Somente usuários afetados exclusivos são acumulados e todas as duplicatas são eliminadas.
    • Entrada:
      • incidente de segurança
      • usuário
    • Saída: Não aplicável
    Obtenha itens de configuração dos usuários afetados Recupera os itens de configuração (ICs) de todos os usuários afetados. Em cenários de phishing ou malware, você pode usar esta ação para atualizar a lista relacionada de Itens de configuração (IC) afetados e investigar os ICs. Você pode atualizar a gravidade ou a pontuação de risco do incidente de segurança com base no número de ICs identificados.
    • Entrada: Usuários
    • Saída:
      • itens de configuração
      • contagem
    Obtenha todos os incidentes de segurança secundários de um incidente de segurança Recupera todos os incidentes de segurança secundários relacionados a um incidente de segurança primário específico. Cenário de exemplo: Use esta ação para:
    • Atualize o status dos incidentes de segurança secundários quando o status de incidentes de segurança primário correspondente for atualizado.
    • Atualize a gravidade ou a pontuação de risco do incidente de segurança automaticamente com base no número de incidentes de segurança secundários.
    • Entrada:
      • incidente de segurança
      • estado do incidente
    • Saída:
      • incidente de segurança secundário
      • contagem
    Obter itens de configuração para os observáveis (tipo endereço IP) Recupera todos os itens de configuração (ICs) para observáveis do tipo endereço IP. Um observável de endereço IP pode ser associado a um item de configuração. Por exemplo, o endereço IP de um servidor. Se você usar esta ação, poderá recuperar informações do servidor.
    • Entrada: Endereço ip observável
    • Saída:
      • itens de configuração
      • contagem
    Observável mal-intencionado Confirma a presença de um ou mais observáveis mal-intencionados em um conjunto de observáveis. Depois que a pesquisa de ameaças for concluída e você identificar a presença de observáveis mal-intencionados, poderá aumentar a gravidade ou a pontuação de risco de um incidente de segurança.
    • Entrada: Incidente de segurança
    • Saída: Mal-intencionado (verdadeiro/falso)
    Enviar e-mail para confirmar a interação do usuário Envia e-mail em resposta a uma resposta do usuário. Se um usuário tentar fazer login várias vezes em uma aplicação e falhar, isso resultará em um cenário de login com falha. Nesse caso, um e-mail é enviado ao usuário para confirmar se o usuário tentou fazer login ou não. Dependendo da resposta do usuário (Sim ou Não), diferentes ações podem ser realizadas.

    Fluxo Playbook manual de login com falha
    Filtrar observáveis da lista permitida Use esta ação para permitir a lista de observáveis de um determinado conjunto de observáveis. Você pode identificar determinados observáveis que podem ser ignorados de um conjunto de observáveis. Esses observáveis não serão levados em conta ao resolver o incidente de segurança.
    • Entrada: Incidente de segurança
    • Saída:
      • observáveis de lista permitidos
      • contagem
    Redefina a senha dos usuários afetados Use esta ação para redefinir a senha dos usuários afetados. Se uma conta de usuário tiver sido invadida ou um usuário solicitar que uma senha seja redefinida, um e-mail será enviado ao usuário para redefinir a senha.

    Fluxo Playbook manual de login com falha.
    Obter grupo de usuários do usuário afetado Recupera os detalhes do grupo de usuários afetados. Em uma organização, se dois ou mais usuários denunciarem e-mails de phishing, você poderá descobrir o grupo ao qual pertencem e identificar se mais usuários foram afetados
    • Entrada: Usuário
    • Saída:
      • grupos de usuários
      • contagem