Actions du playbook de Réponse aux incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Cette section décrit les actions fournies dans la bibliothèque d’actions du Concepteur de flux.

    Nom de l'action Description Exemple de scénario
    Ajouter une balise de sécurité à l’incident de sécurité Utilisez cette action pour ajouter automatiquement une balise de sécurité à l’aide de la logique du Concepteur de flux. Si le flux détecte un IOC, la balise IOC détectée peut être automatiquement ajoutée à l’aide de cette action.

    Flux :
    • Entrée : incident de sécurité, balise de sécurité
    • Sortie : non applicable
    Ajouter des observables à l’incident de sécurité Utilisez cette action pour ajouter des observables à un incident de sécurité sélectionné.
    • Par défaut, la liste des observables est séparée par la virgule (,), mais ce paramètre peut être modifié. Vous pouvez spécifier un autre caractère spécial unique comme délimiteur. Lors de l’ajout d’observables, le type (URL, adresse IP, hachage) est automatiquement défini.
    • Lorsque les observables sont ajoutés à l’incident de sécurité, le type (URL, adresse IP, hachage) est automatiquement défini.
    • Lorsque les observables sont ajoutés, l’option Filtrer les éléments observables sur liste d’autorisation identifie les éléments observables sur liste d’autorisation et ne les ajoute pas à la liste connexe Observables de l’incident de sécurité. Une activité système automatisée (réponse) est ajoutée pour indiquer que ces observables ont été supprimés.
    • Entrée :
      • incident de sécurité
      • observables
      • délimiteur
      • Filtrer les éléments observables sur la liste d’autorisation et publier la note d’activité
    • Sortie : non applicable
    Obtenir les utilisateurs affectés (listes connexes) par plusieurs incidents de sécurité V1 Récupère tous les utilisateurs affectés répertoriés dans la liste connexe des utilisateurs affectés pour les incidents de sécurité spécifiés. Vous pouvez avoir des incidents de sécurité parents avec plusieurs incidents de sécurité enfants. Utilisez cette action pour déployer les utilisateurs affectés de tous les incidents de sécurité enfants vers les incidents de sécurité parents correspondants. Seuls les utilisateurs affectés uniques sont déployés et tous les doublons sont éliminés.
    • Entrée : incidents de sécurité
    • Sortie :
      • Utilisateur affecté
      • compter
    Obtenir les utilisateurs affectés par plusieurs incidents de sécurité Récupère l’utilisateur affecté principal pour l’incident de sécurité spécifié. Cela n’inclut pas les utilisateurs affectés de la liste connexe Utilisateurs affectés.
    • Lors de l’enquête sur un incident de sécurité d’hameçonnage, envoyez un e-mail aux principaux utilisateurs affectés (qui ont signalé l’incident d’hameçonnage) pour confirmer si l’un des utilisateurs a cliqué sur les liens malveillants contenus dans l’e-mail d’hameçonnage.
    • Mettez à jour la gravité de l’incident de sécurité parent ou le score de risque en fonction du nombre d’utilisateurs principaux affectés.
    • Entrée : incidents de sécurité
    • Sortie :
      • Utilisateurs affectés
      • compter
    Obtenir les utilisateurs affectés (liste connexe) à partir d’un incident de sécurité Récupère tous les utilisateurs affectés répertoriés dans la liste connexe Utilisateurs affectés pour un incident de sécurité spécifié.
    • Entrée : incidents de sécurité
    • Sortie :
      • Utilisateurs affectés
      • compter
    Ajouter des utilisateurs affectés à un incident de sécurité Ajoute tous les utilisateurs affectés à un incident de sécurité. Supposons que vous ayez un incident de sécurité parent avec plusieurs incidents de sécurité enfants. Vous pouvez utiliser cette action pour déployer les utilisateurs affectés de tous les incidents de sécurité enfants vers l’incident de sécurité parent correspondant. Seuls les utilisateurs affectés uniques sont déployés et tous les doublons sont éliminés.
    • Entrée :
      • incident de sécurité
      • utilisateur
    • Sortie : non applicable
    Obtenir les éléments de configuration des utilisateurs affectés Récupère les éléments de configuration (CI) de tous les utilisateurs affectés. Dans les scénarios d’hameçonnage ou de programme malveillant, vous pouvez utiliser cette action pour mettre à jour la liste connexe des éléments de configuration (CI) affectés et examiner les CI. Vous pouvez ensuite mettre à jour la gravité ou le score de risque de l’incident de sécurité en fonction du nombre de CI identifiés.
    • Entrée : utilisateurs
    • Sortie :
      • Éléments de configuration
      • compter
    Obtenir tous les incidents de sécurité enfants pour un incident de sécurité Récupère tous les incidents de sécurité enfants liés à un incident de sécurité parent spécifique. Exemple de scénario : utilisez cette action pour :
    • Mettez à jour l’état des incidents de sécurité enfants lorsque leur état d’incident de sécurité parent correspondant est mis à jour.
    • Mettez à jour automatiquement la gravité ou le score des risques de l’incident de sécurité en fonction du nombre d’incidents de sécurité enfants.
    • Entrée :
      • incident de sécurité
      • État de l’incident
    • Sortie :
      • Incident de sécurité enfant
      • compter
    Obtenir les éléments de configuration pour les observables (adresse IP de type) Récupère tous les éléments de configuration (CI) pour les observables de type adresse IP. Un observable d’adresse IP peut être associé à un élément de configuration. Par exemple, l’adresse IP d’un serveur. Si vous utilisez cette action, vous pouvez récupérer des informations pour le serveur.
    • Entrée : adresse IP de l’observable
    • Sortie :
      • Éléments de configuration
      • compter
    Est observable malveillant Confirme la présence d’un ou de plusieurs observables malveillants dans un ensemble d’observables. Une fois la recherche de menaces terminée et que vous avez identifié la présence d’observables malveillants, vous pouvez augmenter la gravité ou le score de risque d’un incident de sécurité.
    • Entrée : incident de sécurité
    • Sortie : malveillante (vrai/faux)
    Envoyer un e-mail pour confirmer l’interaction de l’utilisateur Envoie un e-mail en réponse à une réponse d’un utilisateur. Si un utilisateur tente plusieurs fois de se connecter à une application et échoue, il en résulte un échec de la connexion. Dans ce cas, un e-mail est envoyé à l’utilisateur pour confirmer s’il a tenté de se connecter ou non. En fonction de la réponse de l’utilisateur (Oui ou Non), différentes actions peuvent être menées.

    Flux : échec de la connexion au playbook manuel
    Filtrer les observables sur liste d’autorisation Utilisez cette action pour autoriser la liste des observables à partir d’un ensemble donné d’observables. Vous pouvez identifier certains observables qui peuvent être ignorés à partir d’un ensemble d’observables. Ces observables ne sont pas pris en compte lors de la résolution de l’incident de sécurité.
    • Entrée : incident de sécurité
    • Sortie :
      • Observables de liste d’autorisation
      • compter
    Réinitialiser le mot de passe pour les utilisateurs affectés Utilisez cette action pour réinitialiser le mot de passe des utilisateurs concernés. Si un compte utilisateur a été piraté ou si un utilisateur demande la réinitialisation d’un mot de passe, un e-mail est envoyé à l’utilisateur pour réinitialiser le mot de passe.

    Flux : échec de la connexion au playbook manuel.
    Obtenir le groupe d’utilisateurs pour l’utilisateur affecté Récupère les détails du groupe d’utilisateurs des utilisateurs affectés. Dans une organisation, si deux utilisateurs ou plus signalent des e-mails d’hameçonnage, vous pouvez identifier le groupe auquel ils appartiennent et déterminer si d’autres utilisateurs ont été affectés
    • Entrée : utilisateur
    • Sortie :
      • Groupes d'utilisateurs
      • compter