Führen Sie den Playbook-Flow zur automatisierten Reaktion auf Phishing aus

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

6 Minuten Lesedauer

Mit dem Flow Designer können Sie Aufgaben im Playbook definieren und automatisieren, um Phishing-Angriffe auf Ihre Organisation zu analysieren und zu lösen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin, flow_designer und action_designer
Installieren und konfigurieren Sie die folgenden Integrationen mit den richtigen Anmeldeinformationen:
- Anforderung blockieren (Security Operations Palo Alto Networks NGFW Integration)
- Ergänzung erkennbarer Elemente
- Sichtungssuche
- Bedrohungssuche
- Microsoft Office Exchange

Warum und wann dieser Vorgang ausgeführt wird

Wenn Mitarbeiter eine verdächtige E-Mail erhalten, die die allgemeinen Anzeichen eines Phishing-Angriffs enthält (wie in Ihren Sicherheitsrichtlinien definiert), können sie diese als EML-Anhang an die von Ihrer Organisation festgelegte Phishing-E-Mail-Adresse senden. Mit den im automatisierten Phishing-Playbook-Flow definierten Aufgaben können Sie eine Phishing-Bedingung selektieren, analysieren, eindämmen und beseitigen. Diese Aufgaben können als Teil verschiedener Incident-Status (z. B. Analyse, Eindämmen usw.) aufgerufen werden. Wenn ein Phishing-Security Incident erstellt wird, kann automatisch der automatisierte Phishing-Flow ausgelöst werden. Mit Flow Designer können Sie die Details der verschiedenen Aktionen zur Reaktion auf Incidents anzeigen, sobald sie aufgerufen werden.

Hinweis:

Der Playbook-Flow „Security Incident – Automated Phishing Response Template V1“ (Security Incident – Automated Phishing Response Template V1) ist schreibgeschützt. Sie können eine Kopie des Flows erstellen und nach Bedarf Änderungen vornehmen.

Die folgenden Schritte beschreiben, wie Sie eine Kopie der Phishing-Playbook-Vorlage erstellen und führen Sie durch einige der Aufgaben im Flow.

Prozedur

Navigieren zu Alle > Flow Designer > Designer um die mit der Spoke Security Operations verfügbaren Flows anzuzeigen.
Klicken Sie auf den Link Security Incident – Automated Phishing Response Template VI (Security Incident – Automated Phishing Response Template VI).
Klicken Sie auf der Seite „Flow“ auf das Mehr-Symbol , erstellen Sie eine Kopie des Flows, und öffnen Sie ihn zur Verwendung.
Sie können die Auslöserbedingungen ändern, Aktionen hinzufügen oder entfernen und andere Änderungen am Flow vornehmen.
Diese Abbildung zeigt die Auslöserbedingungen und die Schritte, die der Flow ausführt. Der rechte Bereich zeigt den Datenfluss. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.
Klicken Sie auf das Symbol Auslöser.
Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser an und geben Sie an, wie oft der Flow den Auslöser ausführen soll.
Wenn die im Flow definierten Bedingungen (Kategorie ist Phishing und Quelle ist E-Mail) im Incident-Datensatz erfüllt sind, werden die Aufgaben im automatisierten Phishing-Flow nacheinander ausgeführt. Sie können den Auslöser ändern, Anmerkungen hinzufügen, Bedingungen hinzufügen oder löschen usw.
Klicken Sie auf den Link Security Incident Record aktualisieren.

„Security Incident Record aktualisieren“ ist der erste Schritt im Flow. Klicken Sie auf das Anmerkungssymbol , um dem Sicherheitsanalysten eine Notiz hinzuzufügen, dass ein Phishing-Incident aufgetreten ist und die Ausführung des automatisierten Phishing-Playbook-Flows begonnen hat.
Fahren Sie mit Schritt 2 im Flow fort, und klicken Sie auf den Link Antwortaufgabe erstellen.

In diesem Schritt erstellt der Flow eine automatisierte Antwortaufgabe, um dem Übermittler des Incidents oder dem betroffenen Anwender den Empfang zu bestätigen.

Beachten Sie, dass das Feld Übergeordnete Aufgabe [Security Incident]auf den übergeordneten Datensatz verweist, der diesem Schritt zugeordnet ist. Sie können jeden Referenzdatensatz auswählen, indem Sie das Datenpillen-Auswahlsymbol verwenden oder das entsprechende Referenzelement aus dem rechten Bereich ziehen. Beachten Sie das Sperrsymbol . Das Schlosssymbol zeigt an, dass für diesen Schritt kein Benutzereingriff erforderlich ist.
In Schritt 3 sammelt der Flow zusätzliche Details des betroffenen Benutzers (in der Regel der Benutzer, der den Incident übermittelt hat), um sicherzustellen, dass er erfolgreich eine Benachrichtigung senden kann.
Sie können Bedingungen angeben, um zu überprüfen, ob der Status des betroffenen Anwenders „Aktiv“ ist und der Anwender Benachrichtigungen erhalten kann.
Beachten Sie das Symbol für den bedingten Schritt Symbol für in Schritt 3. Der Flow führt den nächsten Schritt (3.1) nur aus, wenn die angegebenen Bedingungen erfüllt sind.

Wenn die in Schritt 3 definierten Bedingungen erfolgreich erfüllt wurden, wird die E-Mail gesendet.
In Schritt 4 wird die Antwortaufgabe nach dem Senden der E-Mail als geschlossen markiert.
In Schritt 5 werden alle am Incident beteiligten erkennbaren Elemente (z. B. E-Mail-Betreff, E-Mail-Adresse, von der die Phishing-E-Mail gesendet wurde, Phishing-URL) oder erkennbare Elemente, die einer ausgewählten Kategorie angehören (Hash, Datei oder Domäne), gesammelt, um zusätzliche Automatisierung durchzuführen Aktionen in den nachfolgenden Playbook-Schritten.

Klicken Sie auf das Aktionsdesigner-Symbol , um eine detaillierte Ansicht der Aktion anzuzeigen.

Um die Seite „Aktionsdesigner “ anzuzeigen, erweitern Sie einen Schritt im Flow, und klicken Sie auf das Aktionsdesigner-Symbol.
In Schritt 6 wird eine automatisierte Antwortaufgabe erstellt.
Diese Aufgabe erfasst den Beginn des Prozesses zum Abrufen der Reputation aller erkennbaren Elemente und zur Ergänzung der Reputation mit konfigurierten Integrationen.
In Schritt 7 werden zwei Subflows aufgerufen:
- Bedrohungssuchen für erkennbare Elemente ausführen: Dieser Subflow wird verwendet, um die Reputation aller erkennbaren Elemente mithilfe von Implementierungen der Bedrohungssuche abzurufen.
- Erkennbare Elemente anreichern: Dieser Subflow wird verwendet, um die Anreicherung von erkennbaren Elementen mit konfigurierten Implementierungen durchzuführen.
Beachten Sie die Symbole für diese Aufgabe. Das Symbol für parallele Vorgänge Symbol für gibt an, dass beide Aufgaben parallel ausgeführt werden, und das Subflow-Symbol gibt an, dass die ausgeführte Aufgabe ein Subflow ist (siehe unten):

Beachten Sie die Zahl 5 im Feld „Erkennbare Elemente“. Dies zeigt an, dass die Bedrohungssuche für erkennbare Elemente ausgeführt wird, die in Schritt 5 abgerufen wurden. Dieser Subflow ruft wiederum vorhandene Workflows und Aktionen auf, wie im Subflow-Designergezeigt.
In Schritt 8 wird die Antwortaufgabe nach Abschluss der Subflows als Geschlossen markiert.
In Schritt 9 wird der Subflow „Bedrohung aus Selektierung erkennbarer Elemente bestätigen“ aufgerufen.
Dieser Subflow wird verwendet, um das Vorhandensein eines Bedrohungsindikators im Incident zu bestätigen. Wenn die Bedrohung bestätigt wird, wird dem Incident die Kennzeichnung „IOC erkannt“ hinzugefügt.
Wenn die Bedrohung bestätigt wird, aktualisieren Sie in Schritt 10 den Security Incident und fügen einen Hinweis hinzu, der angibt, dass Aufgaben zur Bedrohungseindämmung gestartet werden.
Schritt 11 ist eine automatisierte Antwortaufgabe, die den Start und den Abschluss der Aufgabe erfasst, anhand derer die Auswirkungen der Phishing-E-Mails bewertet werden.
In Schritt 12 wird der Subflow Phishing-E-Mail-Auswirkung bewerten aufgerufen.
Dieser Subflow wird verwendet, um mit unterstützten Implementierungen nach Anwendern zu suchen, die die Phishing-E-Mail erhalten haben.
In Schritt 13 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow Phishing-E-Mail-Auswirkung bewerten ausgeführt wurde.
Schritt 14 wird verwendet, um alle erkennbaren Elemente abzurufen, die als schädlich markiert wurden.
Schritt 15 ist eine automatisierte Antwortaufgabe, die den Start und den Abschluss der Sichtungssuche nach erkennbaren Elementen erfasst.
In Schritt 16 wird der Subflow „Sichtungssuche für erkennbare Elemente ausführen“ aufgerufen.
Dieser Subflow führt eine Sichtungssuche mithilfe der konfigurierten Implementierung durch.
In Schritt 17 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow Sichtungssuche für erkennbare Elemente ausführen abgeschlossen wurde.
Nachdem Sie die schädlichen erkennbaren Elemente identifiziert haben, aktualisieren Sie in Schritt 18 den Security Incident-Datensatz, um anzugeben, dass die Eindämmungsmaßnahmen jetzt beginnen.
Schritt 19 ist eine automatisierte Antwortaufgabe, die den Start und den Abschluss der Blockierungsanforderungsaufgabe erfasst.
In Schritt 20 wird der Subflow „Blockanforderungen erstellen“ aufgerufen.
Dieser Subflow wird verwendet, um schädliche erkennbare Elemente zu blockieren.
In Schritt 21 wird die Aufgabe als geschlossen markiert, um anzuzeigen, dass der Subflow „Blockanforderungen erstellen“ abgeschlossen wurde.
In Schritt 22 wird der Subflow Phishing-E-Mails beseitigen aufgerufen.
Dieser Subflow wird verwendet, um Phishing-E-Mails aus Anwenderpostfächern zu löschen.
Nachdem die Phishing-E-Mails gelöscht wurden, aktualisieren Sie in Schritt 23 den Security Incident-Datensatz, um anzugeben, dass der Incident-Status überprüft werden muss.
Im letzten Schritt erstellt der Flow eine automatisierte Antwortaufgabe.
Diese Aufgabe wird verwendet, um eine Erinnerung an den Sicherheitsanalysten zu senden, alle Aktionen zur Reaktion auf Incidents für zukünftige Überprüfungen zu speichern.

Nächste Maßnahme

Sie können auf Test klicken, um die Aktionen im Flow zu simulieren, bevor Sie ihn veröffentlichen. Klicken Sie nach dem Testen des Flows auf Aktivieren, um den Flow zu aktivieren und auszuführen.

Klicken Sie auf Ausführungen, um die Ausführungsdetails des Flow anzuzeigen.

Automatisierter Phishing-Flow: -Ausführung