Ações do playbook do Security Incident Response

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Esta seção descreve as ações fornecidas na biblioteca de ações do Flow Designer.

    Nome da ação Descrição Cenário de exemplo
    Adicionar um marcador de segurança ao incidente de segurança Use esta ação para adicionar um marcador de segurança automaticamente usando a lógica do Flow Designer. Se o fluxo detectar um IOC, o marcador de IOC detectado poderá ser adicionado automaticamente usando esta ação.

    Fluxo:
    • Entrada: incidente de segurança, marcador de segurança
    • Saída: não aplicável
    Adicionar observáveis ao incidente de segurança Use esta ação para adicionar observáveis a um incidente de segurança selecionado.
    • Por padrão, a lista de observáveis é separada pelo delimitador de vírgula (,), mas isso pode ser modificado. Você pode especificar outro caractere especial único como delimitador. Ao adicionar observáveis, o tipo (URL, endereço IP, hash) é definido automaticamente.
    • Quando os observáveis são adicionados ao incidente de segurança, o tipo (URL, endereço IP, hash) é definido automaticamente.
    • Quando os observáveis estão sendo adicionados, a opção Filtrar observáveis da lista de permitidos identifica os observáveis da lista de permitidos e não os adiciona à lista relacionada de observáveis do incidente de segurança. Uma atividade automatizada do sistema (resposta) é adicionada para indicar que esses observáveis foram removidos.
    • Entrada:
      • incidente de segurança
      • observáveis
      • delimitador
      • filtrar observáveis da lista de permitidos e publicar anotação de atividade
    • Saída: não aplicável
    Obter usuários afetados (listas relacionadas) de vários incidentes de segurança V1 Recupera todos os usuários afetados listados na lista relacionada Usuários afetados para os incidentes de segurança especificados. Você pode ter incidentes de segurança primários com vários incidentes de segurança secundários. Use esta ação para acumular usuários afetados de todos os incidentes de segurança secundários para os incidentes de segurança primários correspondentes. Somente usuários afetados exclusivos são acumulados e todas as duplicatas são eliminadas.
    • Entrada: incidentes de segurança
    • Saída:
      • usuário afetado
      • contagem
    Obter usuários afetados de vários incidentes de segurança Recupera o usuário primário afetado pelo incidente de segurança especificado. Não inclui os usuários afetados da lista relacionada Usuários afetados.
    • Ao investigar um incidente de segurança de phishing, envie um e-mail para os usuários primários afetados (que relataram o incidente de phishing) para confirmar se algum dos usuários clicou nos links maliciosos no e-mail de phishing.
    • Atualize a gravidade do incidente de segurança primário ou a pontuação de risco com base na contagem de usuários primários afetados.
    • Entrada: incidentes de segurança
    • Saída:
      • usuários afetados
      • contagem
    Obter usuários afetados (lista relacionada) de um incidente de segurança Recupera todos os usuários afetados listados na lista relacionada Usuários afetados para um incidente de segurança especificado.
    • Entrada: incidentes de segurança
    • Saída:
      • usuários afetados
      • contagem
    Adicionar usuários afetados ao incidente de segurança Adiciona todos os usuários afetados a um incidente de segurança. Suponha que você tenha um incidente de segurança primário com vários incidentes de segurança secundários. Você pode usar esta ação para acumular usuários afetados de todos os incidentes de segurança secundários para o incidente de segurança primário correspondente. Somente usuários afetados exclusivos são acumulados e todas as duplicatas são eliminadas.
    • Entrada:
      • incidente de segurança
      • usuário
    • Saída: não aplicável
    Obter itens de configuração dos usuários afetados Recupera os itens de configuração (ICs) de todos os usuários afetados. Em cenários de phishing ou malware, você pode usar esta ação para atualizar a lista relacionada de itens de configuração (IC) afetados e investigar os ICs. Você pode atualizar a pontuação de gravidade ou risco do incidente de segurança com base no número de ICs identificados.
    • Entrada: usuários
    • Saída:
      • itens de configuração
      • contagem
    Obter todos os incidentes de segurança secundários para um incidente de segurança Recupera todos os incidentes de segurança secundários relacionados a um incidente de segurança primário específico. Cenário de exemplo: use esta ação para:
    • Atualize o status dos incidentes de segurança secundários quando o status dos incidentes de segurança primários correspondentes for atualizado.
    • Atualize a pontuação de gravidade ou risco do incidente de segurança automaticamente com base no número de incidentes de segurança secundários.
    • Entrada:
      • incidente de segurança
      • estado do incidente
    • Saída:
      • incidente de segurança secundário
      • contagem
    Obter itens de configuração para os observáveis (tipo de endereço IP) Recupera todos os itens de configuração (ICs) para observáveis do tipo endereço IP. Um observável de endereço IP pode ser associado a um item de configuração. Por exemplo, o endereço IP de um servidor. Se você usar esta ação, poderá recuperar informações do servidor.
    • Entrada: endereço IP do observável
    • Saída:
      • itens de configuração
      • contagem
    É um observável malicioso Confirma a presença de um ou mais observáveis maliciosos em um conjunto de observáveis. Depois que a pesquisa de ameaças for concluída e você identificar a presença de observáveis mal-intencionados, poderá aumentar a pontuação de gravidade ou risco de um incidente de segurança.
    • Entrada: incidente de segurança
    • Saída: mal-intencionado (verdadeiro/falso)
    Enviar e-mail para confirmar a interação do usuário Envia e-mail em resposta a uma resposta do usuário. Se um usuário tentar fazer login várias vezes em uma aplicação e falhar, o resultado será um cenário de falha de login. Nesse caso, um e-mail é enviado ao usuário para confirmar se ele tentou fazer login ou não. Dependendo da resposta do usuário (sim ou não), diferentes ações podem ser realizadas.

    Fluxo: playbook manual de login com falha
    Remover do filtro observáveis da lista de permitidos Use esta ação para permitir observáveis de lista de um determinado conjunto de observáveis. Você pode identificar determinados observáveis que podem ser ignorados em um conjunto de observáveis. Esses observáveis não serão levados em conta ao resolver o incidente de segurança.
    • Entrada: incidente de segurança
    • Saída:
      • observáveis da lista permitida
      • contagem
    Redefinir senha para usuários afetados Use esta ação para redefinir a senha dos usuários afetados. Se uma conta de usuário tiver sido invadida ou um usuário solicitar que uma senha seja redefinida, um e-mail será enviado ao usuário para redefinir a senha.

    Fluxo: playbook manual de login com falha.
    Obter grupo de usuários para o usuário afetado Recupera os detalhes do grupo de usuários afetados. Em uma organização, se dois ou mais usuários relatarem e-mails de phishing, você poderá descobrir o grupo ao qual pertencem e identificar se mais usuários foram afetados
    • Entrada: usuário
    • Saída:
      • grupos de usuários
      • contagem