Führen Sie den automatisierten Phishing-Antwort-Playbook-Flow aus

Washington DC Security Management

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Washington DC Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

Führen Sie den automatisierten Phishing-Antwort-Playbook-Flow aus

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

6 Minuten Lesedauer

Mit dem Flow Designer können Sie Aufgaben im Playbook definieren und automatisieren, um Phishing-Angriffe auf Ihre Organisation zu analysieren und zu lösen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin, flow_designer und action_designer
Installieren und konfigurieren Sie die folgenden Integrationen mit den richtigen Anmeldeinformationen:
- Blockanforderung (Security Operations Palo Alto Networks NGFW-Integration)
- Anreicherung erkennbarer Elemente
- Sichtungssuche
- Bedrohungssuche
- Microsoft Office Exchange

Warum und wann dieser Vorgang ausgeführt wird

Wenn Mitarbeiter eine verdächtige E-Mail erhalten, die die häufigsten Anzeichen eines Phishing-Angriffs enthält (wie in Ihren Sicherheitsrichtlinien definiert), können sie sie als EML-Anhang an die von Ihrer Organisation festgelegte Phishing-E-Mail-Adresse senden. Mit den im automatisierten Phishing-Playbook-Flow definierten Aufgaben können Sie eine Phishing-Bedrohung selektieren, analysieren, eindämmen und beseitigen. Diese Aufgaben können als Teil verschiedener Incident-Status aufgerufen werden (z. B. „Analyse“, „Eindämmen“ usw.). Wenn ein Phishing-Security Incident erstellt wird, kann der automatisierte Phishing-Flow automatisch ausgelöst werden. Mit Flow Designer können Sie die Details der verschiedenen Incident-Antwortaktionen anzeigen, wenn sie aufgerufen werden.

Hinweis:

Der Playbook-Flow „Security Incident – Automated Phishing Response Template V1“ (Security Incident – Automated Phishing Response Template V1) ist schreibgeschützt. Sie können eine Kopie des Flow erstellen und nach Bedarf Änderungen vornehmen.

Die folgenden Schritte beschreiben, wie Sie eine Kopie der Phishing-Playbook-Vorlage erstellen, und führen Sie durch einige der Aufgaben im Flow.

Prozedur

Navigieren zu Alle > Flow Designer > Designer , um die mit der Spoke Security Operations verfügbaren Flows anzuzeigen.
Klicken Sie auf den Link Security Incident – Automated Phishing Response Template VI.
Klicken Sie auf der Seite „Flow“ auf das Symbol „ “ Symbol „Mehr“ , erstellen Sie eine Kopie des Flows, und öffnen Sie sie zur Verwendung.
Sie können die Auslöserbedingungen ändern, Aktionen hinzufügen oder entfernen und andere Änderungen am Flow vornehmen.
Diese Abbildung zeigt die Auslösebedingungen und die Schritte, die der Flow ausführt. Im rechten Bereich wird der Datenfluss angezeigt. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.
Klicken Sie auf das Auslösersymbol.
Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser an und wie oft der Flow den Auslöser ausführen soll.
Wenn die im Flow definierten Bedingungen (Kategorie ist Phishing und Quelle ist E-Mail) im Incident-Datensatz erfüllt sind, werden die Aufgaben im automatisierten Phishing-Flow nacheinander ausgeführt. Sie können den Auslöser ändern, Anmerkungen hinzufügen, Bedingungen hinzufügen oder löschen usw.
Klicken Sie auf den Link Security Incident-Datensatz aktualisieren.

„Security Incident-Datensatz aktualisieren“ ist der erste Schritt in diesem Flow. Klicken Sie auf das Anmerkungssymbol , um dem Sicherheitsanalysten eine Notiz hinzuzufügen, die angibt, dass ein Phishing-Incident aufgetreten ist und die Ausführung des automatisierten Phishing-Playbook-Flows begonnen hat.
Fahren Sie mit Schritt 2 im Flow fort, und klicken Sie auf den Link Antwortaufgabe erstellen.

In diesem Schritt erstellt der Flow eine automatisierte Antwortaufgabe, um der Person, die den Incident übermittelt hat, oder dem betroffenen Benutzer den Empfang zu bestätigen.

Beachten Sie, dass das Feld Übergeordnete Aufgabe [Security Incident]auf den übergeordneten Datensatz verweist, der diesem Schritt zugeordnet ist. Sie können einen beliebigen Referenzdatensatz auswählen, indem Sie das Datenpillenauswahl-Symbol verwenden oder das relevante Referenzelement aus dem rechten Bereich ziehen. Beachten Sie das Schlosssymbol . Das Sperrsymbol zeigt an, dass für diesen Schritt kein Benutzereingriff erforderlich ist.
In Schritt 3 erfasst der Flow zusätzliche Details des betroffenen Benutzers (normalerweise der Benutzer, der den Incident übermittelt hat), um sicherzustellen, dass eine Benachrichtigung erfolgreich gesendet werden kann.
Sie können Bedingungen angeben, um zu überprüfen, ob der Status des betroffenen Benutzers aktiv ist und der Benutzer Benachrichtigungen erhalten kann.
Beachten Sie das Symbol für den bedingten Schritt Symbol für den in Schritt 3. Der Flow führt den nächsten Schritt (3.1) nur aus, wenn die angegebenen Bedingungen erfüllt sind.

Wenn die in Schritt 3 definierten Bedingungen erfolgreich erfüllt wurden, wird die E-Mail gesendet.
In Schritt 4 wird die Antwortaufgabe nach dem Senden der E-Mail als geschlossen markiert.
In Schritt 5 werden alle am Incident beteiligten erkennbaren Elemente (z. B. E-Mail-Betreff, E-Mail-Adresse, von der die Phishing-E-Mail gesendet wurde, Phishing-URL) oder erkennbare Elemente, die zu einer ausgewählten Kategorie (Hash, Datei oder Domäne) gehören, erfasst, um zusätzliche Automatisierungsaufgaben durchzuführen Aktionen in den nachfolgenden Playbook-Schritten.

Klicken Sie auf das Aktionsdesigner-Symbol , um eine detaillierte Ansicht der Aktion anzuzeigen.

Um die Seite „Aktionsdesigner “ anzuzeigen, erweitern Sie einen Schritt im Flow, und klicken Sie auf das Aktionsdesigner-Symbol.
In Schritt 6 wird eine automatisierte Antwortaufgabe erstellt.
Diese Aufgabe erfasst den Beginn des Prozesses zum Abrufen der Reputation aller erkennbaren Elemente und zur Ergänzung mit konfigurierten Integrationen.
In Schritt 7 werden zwei Subflows aufgerufen:
- Bedrohungssuche für erkennbare Elemente ausführen: Dieser Subflow wird verwendet, um die Reputation aller erkennbaren Elemente mithilfe von Implementierungen der Bedrohungssuche abzurufen.
- Erkennbare Elemente anreichern: Dieser Subflow wird verwendet, um die Anreicherung von erkennbaren Elementen mit konfigurierten Implementierungen durchzuführen.
Beachten Sie die Symbole für diese Aufgabe. Das Symbol für parallele Vorgänge Symbol für zeigt an, dass beide Aufgaben parallel ausgeführt werden, und das Subflow-Symbol zeigt an, dass die ausgeführte Aufgabe ein Subflow ist, wie unten dargestellt:

Beachten Sie die Zahl 5 im Feld „Erkennbare Elemente“. Dies gibt an, dass die Bedrohungssuche für erkennbare Elemente ausgeführt wird, die in Schritt 5 abgerufen wurden. Dieser Subflow ruft wiederum vorhandene Workflows und Aktionen auf, wie im Subflow Designergezeigt.
In Schritt 8 wird die Antwortaufgabe nach Abschluss der Subflows als Geschlossen markiert.
In Schritt 9 wird der Subflow „Bedrohung aus Selektierung erkennbarer Elemente bestätigen“ aufgerufen.
Dieser Subflow wird verwendet, um das Vorhandensein eines Bedrohungsindikators im Incident zu bestätigen. Wenn die Bedrohung bestätigt wird, wird dem Incident die Kennzeichnung „IOC erkannt“ hinzugefügt.
Wenn die Bedrohung bestätigt wird, aktualisieren Sie in Schritt 10 den Security Incident und fügen einen Hinweis hinzu, der angibt, dass Aufgaben zur Bedrohungseindämmung gestartet werden.
Schritt 11 ist eine automatisierte Antwortaufgabe, die den Beginn und Abschluss der Aufgabe erfasst, die zur Bewertung der Auswirkungen der Phishing-E-Mails verwendet wird.
In Schritt 12 wird der Subflow Phishing-E-Mail-Auswirkung bewerten aufgerufen.
Dieser Subflow wird verwendet, um mithilfe unterstützter Implementierungen nach Benutzern zu suchen, die die Phishing-E-Mail erhalten haben.
In Schritt 13 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow Phishing-E-Mail-Auswirkung bewerten ausgeführt wurde.
Schritt 14 wird verwendet, um alle erkennbaren Elemente abzurufen, die als schädlich markiert wurden.
Schritt 15 ist eine automatisierte Antwortaufgabe, die den Beginn und Abschluss der Aufgabe „Sichtungssuche nach erkennbaren Elementen“ erfasst.
In Schritt 16 wird der Subflow „Sichtungssuche für erkennbare Elemente ausführen“ aufgerufen.
Dieser Subflow führt eine Sichtungssuche mit der konfigurierten Implementierung durch.
In Schritt 17 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow „Sichtungssuche für erkennbare Elemente ausführen“ abgeschlossen wurde.
Nachdem Sie die schädlichen erkennbaren Elemente identifiziert haben, aktualisieren Sie in Schritt 18 den Security Incident-Datensatz, um anzugeben, dass die Eindämmungsmaßnahmen jetzt beginnen.
Schritt 19 ist eine automatisierte Antwortaufgabe, die den Start und Abschluss der Blockanforderungsaufgabe erfasst.
In Schritt 20 wird der Subflow Blockanforderungen erstellen aufgerufen.
Dieser Subflow wird verwendet, um schädliche erkennbare Elemente zu blockieren.
In Schritt 21 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow Blockanforderungen erstellen abgeschlossen wurde.
In Schritt 22 wird der Subflow Phishing-E-Mails beseitigen aufgerufen.
Dieser Subflow wird verwendet, um Phishing-E-Mails aus Benutzerpostfächern zu löschen.
Nachdem die Phishing-E-Mails gelöscht wurden, aktualisieren Sie in Schritt 23 den Security Incident-Datensatz, um anzugeben, dass der Incident-Status überprüft werden muss.
Im letzten Schritt erstellt der Flow eine automatisierte Antwortaufgabe.
Diese Aufgabe wird verwendet, um eine Erinnerung an den Sicherheitsanalysten zu senden, damit er alle Incident-Antwortaktionen für zukünftige Überprüfungen speichern kann.

Nächste Maßnahme

Sie können auf Testen klicken, um die Aktionen im Flow zu simulieren, bevor Sie ihn veröffentlichen. Klicken Sie nach dem Testen des Flow auf Aktivieren, um den Flow zu aktivieren und auszuführen.

Klicken Sie auf Ausführungen, um die Ausführungsdetails des Flow anzuzeigen.

Automatisierter Phishing-Flow: Ausführung