Führen Sie den automatisierten Playbook-Flow für Malware aus

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Verwenden Sie diesen Flow, um Aufgaben im Playbook zu automatisieren und Malware-Angriffe auf Ihre Organisation zu analysieren und abzuwehren.

    Vorbereitungen

    • Erforderliche Rolle: sn_si.admin, flow_designer und action_designer
    • Installieren und konfigurieren Sie die folgenden Integrationen mit den richtigen Anmeldeinformationen:
      • Palo Alto Networks WildFire for Security Operations
      • Sichtungssuche (Splunk)
      • Anforderungen blockieren
      • Bedrohungssuche
      • Erkennbare Elemente ergänzen

      Stellen Sie sicher, dass diese Integrationen ordnungsgemäß funktionieren, bevor Sie die Vorlage „Security Incident – Automated Malware Playbook“ aktivieren.

    • WildFire-App „Security Operations Palo Alto Networks“: Um auf den automatisierten Playbook-Flow für Malware zuzugreifen, müssen Sie die App „Security Operations Spoke“ und „Security Operations Palo Alto Networks – WildFire“ aus dem ServiceNow Storeinstallieren. Wenn die Palo Alto Networks WildFire-App von Security Operations nicht installiert ist, wird der folgende Fehler angezeigt: „Workflow für Aktionsnummer 15.4.1 nicht gefunden“:

      Fehlermeldung für Palo Alto Networks WildFire-App

      Wenn Sie diese App nicht installieren möchten, löschen Sie die Schritte 15.2, 15.3 und 15.4 aus dem automatisierten Malware-Playbook-Flow.

    • Stellen Sie sicher, dass die folgenden Bedingungen erfüllt wurden:
      • Der Security Incident wurde einem Sicherheitsanalysten zugewiesen, der zur entsprechenden Genehmigungsgruppe gehört.
      • Der Sicherheitsanalyst, der den Incident bearbeitet, muss über eine gültige E-Mail-Adresse verfügen.
      • Die erforderlichen Konfigurationselemente und erkennbaren Elemente wurden dem Security Incident hinzugefügt.
    • Ändern Sie für Schritt 21 (Genehmigung anfordern)die Gruppe von Security Incident Assignment (Zuweisung des Security Incidents) zu Ihrer bevorzugten Gruppe.
    • Schritt 21 des Flows ist ein obligatorischer Aufgabengenehmigungsschritt, bei dem eine Genehmigungsanforderung an den Administrator gesendet wird. Um die Anforderung zu genehmigen, muss der Administrator zur Seite Aufgabengenehmigungen navigieren und das Feld Status auf Genehmigtfestlegen. Wenn die Aufgabe nicht genehmigt wird, kann der Flow Designer nicht fortfahren, und der Prozess wird beendet.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn im Netzwerk eine Aktivität mit schädlichem Code erkannt wird, wird ein Security Incident erstellt und der automatisierte Playbook-Flow für Malware gestartet. Sie können die im automatisierten Malware-Playbook-Flow definierten Aufgaben verwenden, um die Bedrohung zu selektieren, zu analysieren, einzudämmen und zu beseitigen.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer um die mit der Security Operations-Spoke verfügbaren Flows anzuzeigen.
    2. Klicken Sie auf den Link Security Incident – Automated Malware Playbook Template VI (Security Incident – Automated Malware Playbook Template VI).
    3. Klicken Sie auf der Seite „Flow“ auf das Mehr-Symbol Mehr-Symbol, erstellen Sie eine Kopie des Flows, und öffnen Sie ihn zur Verwendung.
      Sie können jetzt Änderungen an Ihrem Flow vornehmen, z. B. Auslöserbedingungen oder Aktionen ändern oder Aktionen hinzufügen und entfernen.Automatisiertes Malware-Playbook – Vorlage

      Dies zeigt den Auslöser und die Schritte, die mit dem Flow ausgeführt werden. Der rechte Bereich zeigt den Datenfluss. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.

    4. Klicken Sie auf das Symbol Auslöser.
      Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser und die Aufgabe an, die ausgeführt werden sollen, wenn die Bedingungen erfüllt sind.Automatisierter Playbook-Flow für Malware: Auslöser

      Wenn die im Flow definierte Bedingung (Kategorie ist Aktivität von böswilligem Code) im Incident-Datensatz erfüllt ist, werden die Aufgaben im automatisierten Phishing-Flow nacheinander ausgeführt. Sie können den Auslöser ändern, Anmerkungen hinzufügen, Bedingungen hinzufügen oder löschen usw.

    5. Der erste Schritt im Flow ist Security Incident Record aktualisieren.
      Automatisierter Playbook-Flow für Malware: Schritt 1

      Klicken Sie auf den Link und dann auf das Anmerkungssymbol Anmerkungssymbol, um dem Sicherheitsanalysten eine Notiz hinzuzufügen, dass schädliche Codeaktivitäten aufgetreten sind und die Ausführung des Playbook-Flows zur automatisierten Reaktion auf Malware begonnen hat.

    6. Fahren Sie mit Schritt 2 im Flow fort, und klicken Sie auf den Link Aufgabe erstellen.

      In diesem Schritt wird eine automatisierte Antwortaufgabe erstellt, um zu überprüfen, ob alle erforderlichen erkennbaren Elemente erfasst wurden und ob die Untersuchung beginnen kann.

      Automatisierter Playbook-Flow für Malware: Schritt 2

    7. Wenn der Ergebnistyp auf „Nein“festgelegt ist, gibt dies an, dass keine erkennbaren Elemente und CIs zum Initiieren der Untersuchung verfügbar sind.
      Aktualisieren Sie den Security Incident-Datensatz, um anzugeben, dass das Playbook nicht fortgesetzt werden kann.
    8. Wenn der Ergebnistyp auf Jafestgelegt ist, weist der Subflow Incident-Schweregrad festlegen dem Security Incident automatisch den richtigen Schweregrad zu.
    9. Im nächsten Schritt wird der Security Incident-Datensatz aktualisiert.
    10. Im nächsten Schritt werden alle erkennbaren Elemente, die am Incident oder einer ausgewählten Kategorie beteiligt sind, gesammelt, um in den nachfolgenden Playbook-Schritten zusätzliche automatisierte Aktionen auszuführen.
    11. Im nächsten Schritt wird eine automatisierte Antwortaufgabe erstellt.
      Diese Aufgabe erfasst den Beginn des Prozesses zum Abrufen der Reputation aller erkennbaren Elemente und zur Ergänzung der Reputation mit konfigurierten Integrationen.
    12. In Schritt 8 werden zwei Subflows aufgerufen:
      • Bedrohungssuchen für erkennbare Elemente ausführen: Dieser Subflow wird verwendet, um die Reputation aller erkennbaren Elemente mithilfe von Implementierungen der Bedrohungssuche abzurufen.
      • Erkennbare Elemente anreichern: Dieser Subflow wird verwendet, um die Anreicherung von erkennbaren Elementen mit konfigurierten Implementierungen durchzuführen.

      Automatisierter Playbook-Flow für Malware: Schritt 8

      Beachten Sie die Symbole für diese Aufgabe. Das Symbol für parallele Vorgänge Symbol für parallele Vorgänge gibt an, dass beide Aufgaben parallel ausgeführt werden, und das Subflow-Symbol Subflow-Symbol gibt an, dass die ausgeführte Aufgabe ein Subflow ist (siehe unten):

      Automatisierter Playbook-Flow für Malware: Schritt 8.1.1

      Beachten Sie die Zahl 5 im Feld „Erkennbare Elemente“. Dies zeigt an, dass die Bedrohungssuche für erkennbare Elemente ausgeführt wird, die in Schritt 5 abgerufen wurden. Dieser Subflow ruft wiederum vorhandene Workflows und Aktionen auf.

    13. Im nächsten Schritt wird die Aktion „Datensätze suchen“ ausgeführt.
      Diese Aktion wird verwendet, um nach Workflow-Kontextdatensätzen zu suchen, bei denen die übergeordneten Workflows eine der folgenden sein können.
      • Bedrohungssuche – abstrakter Workflow-Kontext
      • Anreicherung erkennbarer Elemente – abstrakter Workflow-Kontext
    14. Im nächsten Schritt werden die Reputation und die Ergänzungsergebnisse für jeweils 8 Datensätze überprüft.
    15. Überprüfen Sie die nächsten Schritte weiter:
      1. Security Incident-Datensatz aktualisieren: Aktualisiert den Security Incident-Datensatz mit der Angabe, dass die Reputationssuche und die Ergänzungsaktivitäten abgeschlossen wurden.
      2. Erkennbare Elemente aus Aufgabe abrufen: Ruft alle schädlichen erkennbaren Elemente ab, die dem Security Incident zugeordnet sind.
      3. Aufgabe erstellen: Prüft und bestätigt, ob die Ausführungen der automatisierten Selektierung erfolgreich waren.
    16. Wenn erkennbare Elemente vorhanden sind, die als schädlich gekennzeichnet wurden:
      1. Security Incident-Datensatz aktualisieren: Veröffentlichen Sie eine Arbeitsnotiz, die angibt, dass eine Bedrohung erkannt wurde.
      2. Eingabeabfrage aus erkennbaren Elementen erstellen: Wenn mehr als zehn erkennbare Elemente als schädlich gekennzeichnet wurden, wird der Subflow „Sichtungssuche für erkennbare Elemente“ (in Splunk oder Carbon Black) ausgeführt.
    17. Wenn die erkennbaren Elemente nicht als schädlich gekennzeichnet sind, wird der Flow mit den folgenden Schritten fortgesetzt:
      1. Security Incident-Datensatz aktualisieren: Veröffentlichen Sie eine Arbeitsnotiz, die angibt, dass keine Bedrohung erkannt wurde
      2. Erkennbare Elemente aus Aufgabe abrufen: Identifiziert alle SHA256-Hash-IDs aus dem Incident.
      3. Datensätze erkennbarer Elemente suchen: Sucht nach Datensätzen, die diese Kriterien erfüllen.
    18. Überprüfen Sie die nächsten Schritte weiter:
      1. Für jedes schädliche erkennbare Element wird der Workflow „Security Operations Palo Alto Networks – WildFire Data Enrichment abrufen“ ausgeführt.
      2. Überprüft die Untersuchungsergebnisse, um festzustellen, ob sie zufriedenstellend sind.
        Es wird eine Antwortaufgabe erstellt, um zu überprüfen, ob die vermutete Malware ein Ransomware-Angriff ist. Wenn ja, wird der Subflow des Ransomware-Playbooks ausgeführt.
      3. Im nächsten Schritt wird eine E-Mail mit einer Zusammenfassung der Analyse gesendet und eine Genehmigung angefordert, um Eindämmungsverfahren zu initiieren.
      4. Eine Aufgabe wird erstellt, um Details der angeforderten Genehmigung zu erfassen.
      5. Der nächste Schritt besteht in der Aktualisierung des Security Incident-Datensatzes.
        Veröffentlichen Sie eine Arbeitsnotiz, die den Sicherheitsanalysten darüber informiert, dass die Genehmigungsanforderung gestellt wurde.
      6. Fordert die Genehmigung zur Eindämmung der Malware-Angriffe von Ihrem SOC-Manager an.
        Schritt 21
        Hinweis:
        Wenn eine Genehmigungsanforderung vom Flow generiert wird, wird die Arbeitsnotiz mit der folgenden Meldung aktualisiert:
        Für wurde eine Genehmigungsanforderung erstellt<task id> Fahren mit Eindämmung fort. Um diese Aufgabe als SOC-Manager zu genehmigen, führen Sie die folgenden Schritte manuell aus:
        • Navigieren Sie zur Seite Aufgabengenehmigungen.
        • Die Liste der Genehmigungen wird angezeigt. Klicken Sie auf<task id> , der genehmigt werden soll.
        • Ändern Sie den Status in „Genehmigen“, und speichern Sie das aktualisierte<task id> .
      7. Im nächsten Schritt wird der Security Incident-Datensatz aktualisiert, um den Genehmigungsstatus nachzuverfolgen.
      8. Als Nächstes wird eine Aufgabe erstellt, um Eindämmungsverfahren zu initiieren.
      9. Der Subflow „Create Block Requests for Malicius Observables“ (Anforderungen zum Blockieren von böswilligen erkennbaren Elementen ausführen) wird ausgeführt, und es wird ein Incident-Datensatz mit der Anforderung erstellt, das infizierte Gerät und seine Assets neu zu erstellen.
      10. Als Nächstes wird eine Aufgabe erstellt, um die Sichtungssuche auszuführen und zu bestätigen, ob die Umgebung sicher ist.
        Die Sichtungssuche wird wiederholt, bis keine Sichtungen gefunden wurden.
      11. Als Nächstes wird eine Aufgabe erstellt, um anzuzeigen, dass der Security Incident-Datensatz zur Überprüfung bereit ist.
      12. Abschließend wird der Datensatz aktualisiert und in die Phase Überprüfen verschoben.

    Nächste Maßnahme

    Sie können auf Test klicken, um die Aktionen im Flow zu simulieren, bevor er veröffentlicht wird. Klicken Sie nach dem Testen des Flows auf Aktivieren, um den Flow zu aktivieren, damit er ausgeführt werden kann.

    Klicken Sie auf Ausführungen, um die Ausführungsdetails des Flow anzuzeigen.

    Automatisierter Malware-Playbook-Flow: Ausführung