Verwenden Sie das Playbook „Erkennung wiederholen“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die folgenden Schritte zeigen Ihnen die Aktionen, Aufgaben und Subflows, die im Playbook „Wiederholungserkennung“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer
    Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben. Sie haben die Möglichkeit, die folgenden Systemeigenschaften zu ändern:
    • sn_sec_spoke.similarphish.earlyterminationscore
    • sn_sec_spoke.similarphish.lookbackdays
    • sn_sec_spoke.similarphish.maxcomparisonsize
    • sn_sec_spoke.similarphish.minmatchscore

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, ruft das Playbook in Schritt 1 das relative Datum des Security Incident anhand der Tageskonfiguration ab.
    2. In Schritt 2 sucht das Playbook in der Tabelle „sn_ti_m2m_task_observable “ nach den Datensätzen des erkennbaren Aufgabenelements, die dem Incident basierend auf der Nachrichten-ID entsprechen.
      Abbildung : 1. Playbook „Erkennung wiederholen“.
      Sucht anhand der Nachrichten-ID nach Datensätzen für erkennbare Aufgaben.
    3. In Schritt 3 vergleicht das Playbook die erkennbaren Aufgabenelemente und den E-Mail-Text mit dem Levenshtein-Algorithmus für Incidents, die der Nachrichten-ID entsprechen.
    4. In Schritt 4 überprüft das Playbook basierend auf der bisher durchgeführten Untersuchung, ob der übereinstimmende Incident basierend auf der Nachrichten-ID gefunden wurde oder nicht.
      Wenn in Schritt 5 ein übereinstimmender Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz, in der basierend auf der Automatisierung für die Wiederholungserkennung eine Übereinstimmung gefunden wurde. In Schritt 6 endet der Flow.
    5. Wenn der übereinstimmende Incident nicht gefunden wird, sucht das Playbook in Schritt 7 in der Tabelle „sn_ti_m2m_task_observable “ nach den Datensätzen des erkennbaren Aufgabenelements, die dem Incident basierend auf dem Betreff entsprechen.
    6. In Schritt 8 vergleicht das Playbook die erkennbaren Elemente der Aufgabe und den E-Mail-Text mit dem Levenshtein-Algorithmus für Incidents, die dem Betreff entsprechen.
    7. In Schritt 9 überprüft das Playbook, ob der übereinstimmende Incident gefunden wurde.
      Wenn in Schritt 10 ein übereinstimmender Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz, in der basierend auf der Automatisierung für die Wiederholungserkennung eine Übereinstimmung gefunden wurde. In Schritt 11 endet der Flow.
      Abbildung : 2. Übereinstimmender Incident
      Wenn der übereinstimmende Incident gefunden wird, werden die Arbeitsnotizen aktualisiert.
    8. In Schritt 12 sucht das Playbook in der Tabelle „sn_ti_m2m_task_observable “ nach den Datensätzen für erkennbare Aufgabenelemente, die dem Incident basierend auf der Adresse entsprechen.
    9. In Schritt 13 vergleicht das Playbook die erkennbaren Elemente der Aufgabe und den E-Mail-Text mit dem Levenshtein-Algorithmus für Incidents, die mit der Adresse übereinstimmen.
    10. In Schritt 14 überprüft das Playbook, ob der übereinstimmende Incident basierend auf der Adresse gefunden wurde oder nicht.
      Wenn in Schritt 15 ein übereinstimmender Incident gefunden wird, aktualisiert das Playbook automatisch die Arbeitsnotiz, in der basierend auf der Automatisierung für die Wiederholungserkennung eine Übereinstimmung gefunden wurde. In Schritt 16 endet der Flow.