Playbook-Aktionen für Security Incident Response

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • In diesem Abschnitt werden die in der Flow Designer-Aktionsbibliothek bereitgestellten Aktionen beschrieben.

    Aktionsname Beschreibung Beispielszenario
    Fügen Sie dem Security Incident ein Sicherheits-Tag hinzu Diese Aktion verwenden, um automatisch ein Sicherheits-Tag mithilfe der Flow Designer-Logik hinzuzufügen. Wenn der Flow ein IoC erkennt, kann mit dieser Aktion automatisch das Tag IoC erkannt hinzugefügt werden.

    Flow:
    • Eingabe: Security Incident, Sicherheits-Tag
    • Ausgabe: nicht zutreffend
    Fügen Sie dem Security Incident erkennbare Elemente hinzu Diese Aktion verwenden, um einem ausgewählten Security Incident erkennbare Elemente hinzuzufügen.
    • Standardmäßig wird die Liste der erkennbaren Elemente durch Kommas (,) getrennt, dies kann jedoch geändert werden. Sie können ein anderes einzelnes Sonderzeichen als Trennzeichen angeben. Beim Hinzufügen von erkennbaren Elementen wird der Typ (URL, IP-Adresse, Hash) automatisch festgelegt.
    • Wenn die erkennbaren Elemente dem Security Incident hinzugefügt werden, wird der Typ (URL, IP-Adresse, Hash) automatisch festgelegt.
    • Wenn die erkennbaren Elemente hinzugefügt werden, identifiziert die Option „Erkennbare Elemente der zulässigen Liste filtern“ die erkennbaren Elemente der zulässigen Liste und fügt sie nicht der zugehörigen Liste der erkennbaren Elemente des Security Incidents hinzu. Eine automatisierte Systemaktivität (Antwort) wird hinzugefügt, um anzuzeigen, dass diese erkennbaren Elemente entfernt wurden.
    • Eingabe:
      • Security Incident
      • Erkennbare Elemente
      • Trennzeichen
      • Erkennbare Elemente der zulässigen Liste filtern und Aktivitätsnotiz veröffentlichen
    • Ausgabe: nicht zutreffend
    Betroffene Anwender (Zugehörige Listen) aus mehreren Security Incidents abrufen V1 Ruft alle betroffenen Anwender ab, die in der zugehörigen Liste „Betroffene Anwender“ für die angegebenen Security Incidents aufgeführt sind. Sie können übergeordnete Security Incidents mit mehreren untergeordneten Security Incidents haben. Diese Aktion verwenden, um für betroffene Anwender ein Rollup von allen untergeordneten Security Incidents zu den entsprechenden übergeordneten Security Incidents durchzuführen. Nur eindeutig betroffene Anwender werden zusammengefasst, und alle Duplikate werden eliminiert.
    • Eingabe: Security Incidents
    • Ausgabe:
      • Betroffener Anwender
      • count
    Rufen Sie betroffene Anwender von mehreren Security Incidents ab Ruft den primären betroffenen Anwender für den angegebenen Security Incident ab. Die betroffenen Benutzer aus der zugehörigen Liste Betroffene Benutzer sind nicht enthalten.
    • Senden Sie bei der Untersuchung eines Phishing-Security Incident eine E-Mail an die primär betroffenen Anwender (die den Phishing-Incident gemeldet haben), um zu bestätigen, ob einer der Anwender auf die schädlichen Links in der Phishing-E-Mail geklickt hat.
    • Aktualisieren Sie den Schweregrad oder die Risikopunktzahl des übergeordneten Security Incident basierend auf der Anzahl der primär betroffenen Anwender.
    • Eingabe: Security Incidents
    • Ausgabe:
      • Betroffene Anwender
      • count
    Rufen Sie betroffene Anwender (zugehörige Liste) aus einem Security Incident ab Ruft alle betroffenen Anwender ab, die in der zugehörigen Liste „Betroffene Anwender“ für einen angegebenen Security Incident aufgeführt sind.
    • Eingabe: Security Incidents
    • Ausgabe:
      • Betroffene Anwender
      • count
    Fügen Sie dem Security Incident betroffene Anwender hinzu Fügt alle betroffenen Anwender zu einem Security Incident hinzu. Angenommen, Sie haben einen übergeordneten Security Incident mit mehreren untergeordneten Security Incidents. Sie können diese Aktion verwenden, um ein Rollup betroffener Anwender aus allen untergeordneten Security Incidents zum entsprechenden übergeordneten Security Incident durchzuführen. Nur eindeutig betroffene Anwender werden zusammengefasst, und alle Duplikate werden eliminiert.
    • Eingabe:
      • Security Incident
      • Anwender
    • Ausgabe: nicht zutreffend
    Konfigurationselemente der betroffenen Anwender abrufen Ruft die Configuration Items (CIs) aller betroffenen Anwender ab. In Phishing- oder Malware-Szenarien können Sie mit dieser Aktion die zugehörige Liste „Betroffene Configuration Items (CI)“ aktualisieren und die CIs untersuchen. Anschließend können Sie den Schweregrad oder die Risikopunktzahl des Security Incidents basierend auf der Anzahl der identifizierten CIs aktualisieren.
    • Eingabe: users
    • Ausgabe:
      • Konfigurationselemente
      • count
    Ruft alle untergeordneten Security Incidents für einen Security Incident ab Ruft alle untergeordneten Security Incidents ab, die sich auf einen bestimmten übergeordneten Security Incident beziehen. Beispielszenario: Verwenden Sie diese Aktion für Folgendes:
    • Aktualisieren Sie den Status der untergeordneten Security Incidents, wenn der Status der entsprechenden übergeordneten Security Incidents aktualisiert wird.
    • Aktualisiert den Schweregrad oder die Risikopunktzahl des Security Incident automatisch basierend auf der Anzahl der untergeordneten Security Incidents.
    • Eingabe:
      • Security Incident
      • Incident-Status
    • Ausgabe:
      • Security Incident untergeordnet ist
      • count
    Konfigurationselemente für die erkennbaren Elemente abrufen (IP-Adresse eingeben) Ruft alle Configuration Items (CIs) für erkennbare Elemente vom Typ IP-Adresse ab. Eine erkennbare IP-Adresse kann einem Konfigurationselement zugeordnet werden. Zum Beispiel die IP-Adresse eines Servers. Wenn Sie diese Aktion verwenden, können Sie Informationen für den Server abrufen.
    • Eingabe: IP-Adresse des erkennbaren Elements
    • Ausgabe:
      • Konfigurationselemente
      • count
    Ist erkennbares Element schädlich Bestätigt das Vorhandensein eines oder mehrerer schädlicher erkennbarer Elemente in einer Reihe von erkennbaren Elementen. Nachdem die Bedrohungssuche abgeschlossen wurde und Sie das Vorhandensein schädlicher erkennbarer Elemente identifiziert haben, können Sie den Schweregrad oder die Risikopunktzahl eines Security Incident erhöhen.
    • Eingabe: Security Incident
    • Ausgabe: schädlich (wahr/falsch)
    Senden Sie eine E-Mail, um die Anwenderinteraktion zu bestätigen Sendet eine E-Mail als Antwort auf eine Benutzerantwort. Wenn ein Benutzer mehrmals versucht, sich bei einer Anwendung anzumelden, und dies fehlschlägt, führt dies zu einem Anmeldeszenario mit einem Fehler. In diesem Fall wird eine E-Mail an den Benutzer gesendet, um zu bestätigen, ob er versucht hat, sich anzumelden. Je nach Benutzerantwort (Ja oder Nein) können unterschiedliche Aktionen ausgeführt werden.

    Flow: Fehler bei der Anmeldung Manuelles Playbook
    Erkennbare Elemente der zulässigen Liste herausfiltern Diese Aktion verwenden, um erkennbare Elemente aus einer bestimmten Gruppe von erkennbaren Elementen aufzulisten. Sie können bestimmte erkennbare Elemente identifizieren, die aus einer Reihe von erkennbaren Elementen ignoriert werden können. Diese erkennbaren Elemente werden bei der Lösung des Security Incidents nicht berücksichtigt.
    • Eingabe: Security Incident
    • Ausgabe:
      • zulässige Liste erkennbarer Elemente
      • count
    Setzen Sie das Passwort für betroffene Anwender zurück Diese Aktion verwenden, um das Passwort für betroffene Anwender zurückzusetzen. Wenn ein Benutzeraccount kompromittiert wurde oder ein Benutzer die Zurücksetzung des Passworts anfordert, wird eine E-Mail an den Benutzer gesendet, um das Passwort zurückzusetzen.

    Flow: Fehler bei der Anmeldung Manuelles Playbook.
    Ruft die Anwendergruppe für den betroffenen Anwender ab Ruft die Anwendergruppendetails der betroffenen Anwender ab. Wenn in einer Organisation zwei oder mehr Anwender Phishing-E-Mails melden, können Sie herausfinden, welcher Gruppe sie angehören, und feststellen, ob weitere Anwender betroffen sind
    • Eingabe: user
    • Ausgabe:
      • Anwendergruppen
      • count