Playbook pour l’automatisation des incidents de sécurité enfants
Les incidents de sécurité en double sont classés dans la catégorie des incidents de sécurité enfants et sont déployés sur les incidents de sécurité parents.
Le playbook d’automatisation des incidents de sécurité enfants permet de réduire le temps nécessaire pour enquêter et fermer les incidents de sécurité en double. Ce playbook déploie automatiquement des artefacts uniques spécifiques de l’incident de sécurité enfant (observables, utilisateurs affectés, CI) sur l’incident de sécurité parent.
Prérequis
- sn_si.admin
- flow_designer
Spoke : installer le spoke Security Operations (sn_sec_spoke)
Principales options
Le playbook d’automatisation enfant couvre les options suivantes :
- Fait passer l’incident de sécurité à l’étape Analyse .
- Élimine les doublons et ajoute (cumule) les utilisateurs et CI affectés à l’incident de sécurité parent.
- Ajoute les observables de l’incident enfant à l’incident de sécurité parent.
- Ferme ou annule l’incident de sécurité enfant lorsque l’incident de sécurité parent est fermé.
Options requises
Pour plus d’informations, consultez le ServiceNow Store.
Expérience d’analyste de sécurité
Pour comprendre comment résoudre les menaces de sécurité étape par étape, reportez-vous à la section Résoudre les menaces de sécurité avec le playbook.
Meilleure compréhension du playbook d’automatisation des incidents de sécurité enfants avec les options de Flow Designer
- Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
- Accédez à la et cliquez sur le playbook Échec de la connexion.
- Faites une copie du Playbook d’automatisation des incidents de sécurité enfants et apportez les modifications nécessaires. (Il s’agit d’une étape facultative. Suivez cette étape uniquement si vous envisagez de personnaliser ou d’apporter des modifications spécifiques au flux.
- Apportez les modifications nécessaires en fonction de vos besoins. (Il s’agit d’une étape facultative. Suivez cette étape uniquement si vous envisagez de personnaliser ou d’apporter des modifications spécifiques au flux.
- Activez le playbook.
- Activez le flux principal pour utiliser le playbook disponible avec le système de base.
- Activez le flux copié après avoir apporté des modifications en fonction de vos besoins.
- Le champ d’incident de sécurité parent n’est pas vide.
- L’incident de sécurité parent est à l’état Brouillon, Analyse, Contenir ou Éradiquer.
Les étapes suivantes vous guident à travers les actions et les tâches disponibles dans le Playbook d’automatisation des incidents de sécurité enfants.
- Lorsque le playbook commence à s’exécuter, à l’étape 1, si l’incident de sécurité se trouve à l’état Brouillon, il est mis à jour et défini sur l’état Analyse.
- Aux étapes 2 et 3, les utilisateurs affectés par l’incident de sécurité sont récupérés et déployés sur l’incident de sécurité parent. Tous les utilisateurs en double sont éliminés.
- Aux étapes 4 et 5, les éléments de configuration associés à l’incident de sécurité enfant sont récupérés et les CI uniques sont déployés sur l’incident de sécurité parent.
- Aux étapes 6 et 7, les observables associés à l’incident de sécurité enfant sont récupérés et les observables uniques sont déployés sur l’incident de sécurité parent.
- Aux étapes 8 et 9, des notes de travail automatisées sont publiées sur les incidents de sécurité parents et enfants, indiquant que les utilisateurs, éléments de configuration et observables affectés ont été déployés de l’incident de sécurité enfant vers l’incident de sécurité parent.