Playbook de incidentes de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Invoque o fluxo do playbook de incidentes de segurança automaticamente ou manualmente.

    Um Playbook ficará visível somente se pelo menos um playbook estiver associado a um incidente de segurança. O componente do playbook funciona somente para os processos criados pelo Designer de automação de processos (PAD) e não para os fluxos criados pelo Flow Designer. Para os fluxos habilitados pelo Flow Designer existentes, ele continuará funcionando e as atividades continuarão sendo renderizadas como tarefas de resposta.

    Há duas maneiras de associar o playbook ao incidente de segurança:
    • Invocar automaticamente o playbook
    • Adicionar playbook manualmente

    Invocar playbook automaticamente

    Para que um Playbook seja invocado automaticamente, um processo precisa ser definido usando Designer de automação de processos (PAD) e quando a condição do gatilho é atendida, a guia playbook é renderizada automaticamente com as atividades do playbook que estão sendo exibidas.

    Adicionar playbook manualmente

    Para que um Playbook seja invocado manualmente, navegue até o menu suspenso Ação de IU do formulário e selecione Adicionar Playbook . Para obter mais informações, consulte, Adicionar Playbook
    Nota:
    Se já houver um playbook disponível, os novos playbooks adicionados serão executados paralelamente aos playbooks existentes.
    • No playbook, o analista pode filtrar os cartões do playbook por status.
    • O analista pode cancelar um playbook selecionando-o no ícone de reticência.
    • Em cada atividade, o analista poderá executar as ações definidas nos cartões de atividade, como Ignorar, Marcar como concluído, Cancelar ou Ações de Orquestração, como Enviar para área restrita, Pesquisar e-mails e assim por diante.
    • Cada uma dessas ações é definida na definição da atividade, e o cartão completo visível é personalizável no momento da criação da própria definição da atividade.
    Nota:
    Todas as definições de atividades futuras e as próximas etapas a serem executadas são exibidas com um ícone de cadeado e estão no modo somente leitura para o usuário. O modo de exibição do playbook é controlado por uma configuração conforme explicado abaixo.
    1. Navegar até Tudo > Playbook Experiences.
    2. Na página Playbook Experiences, selecione um SIR Playbook Experience .
      Figura 1. Playbook Experience
      Playbook Experience de incidentes de segurança
      . SIR Playbook Experience a página é exibida.
      Figura 2. Playbook Experience Record
      Editando o registro SIR Playbook Experience
    3. Clique em Configuração registro.
      Registro de configuração do Playbook
    4. Na guia Configuração, clique em Configuração do SIR Playbook Experience.
      Figura 3. Configuração do Playbook
      Edite a Configuração do Playbook
    5. Navegue até Visibilidade do item pendente lista suspensa do campo, selecione a opção desejada e salve o registro. Escolhas das seguintes opções:
      • Ocultar atividades pendentes : Selecione esta opção para ocultar as atividades pendentes que você deseja ver na seção Playbook do espaço.
        Figura 4. Exemplo de phishing relatado pelo usuário
        Oculte atividades pendentes no playbook Manual de Phishing.
      • Mostrar fases e atividades pendentes : Selecione esta opção para mostrar fases e atividades pendentes que você deseja ver na seção Playbook do espaço.
        Figura 5. Mostrar atividades e fases pendentes
        Mostrar fases e atividades pendentes no playbook Manual de Phishing
      • Ocultar atividades e fases pendentes : Selecione esta opção para ocultar as atividades e fases pendentes que você deseja ver na seção Playbook do espaço.
        Figura 6. Ocultar atividades e fases pendentes
        Oculte atividades e fases pendentes no playbook Manual de Phishing
    6. Na seção Playbook, use a opção de filtro para filtrar as atividades por status do cartão Playbook (definição de atividade).
      Figura 7. Status do cartão do Playbook
      Status do cartão do Playbook

    Adicionar Playbook

    Use esta seção para adicionar o playbook manualmente.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Espaço de trabalho do analista de segurança.
    2. Abra um registro de incidentes
    3. Clique em Adicionar Playbook .
      Adicione um playbook manualmente
      . Adicionar Playbook a caixa de diálogo é exibida.
      Adicionar playbook
    4. Selecione o modelo de playbook.
    5. Clique em Adicionar Playbook .
      Uma caixa de diálogo de mensagem de confirmação é exibida para você confirmar.
    6. Clique em Adicionar mesmo assim .
      Mensagem de confirmação
    7. . Playbook adicionado ao lado de Detalhes guia.
      Mensagem de confirmação do Playbook
    8. Clique em Playbook guia.
      Atividades do Playbook
    9. Execute a série de atividades conforme listado para passar para o próximo nível.
      Nota:
      Se um incidente de segurança estiver associado a um playbook, até que o playbook associado seja encerrado ou cancelado, o usuário não poderá associar novamente o mesmo playbook ao mesmo incidente de segurança.