Playbook pour l’automatisation des incidents de sécurité enfants
Les incidents de sécurité en double sont classés en tant qu’incidents de sécurité enfants et sont déployés sur les incidents de sécurité parents.
Le playbook d’automatisation des incidents de sécurité enfants permet de réduire le temps nécessaire pour enquêter sur les incidents de sécurité en double et les fermer. Ce playbook déploie automatiquement des artefacts uniques spécifiques de l’incident de sécurité enfant (observables, utilisateurs affectés, CI) sur l’incident de sécurité parent.
Prérequis
- sn_si.admin
- flow_designer
Spoke : installer le spoke Security Operations (sn_sec_spoke)
Principales options
Le playbook d’automatisation enfant couvre les options suivantes :
- Déplace l’incident de sécurité vers l’étape d’analyse .
- Élimine les doublons et ajoute (déploie) les utilisateurs et CI affectés à l’incident de sécurité parent.
- Ajoute les observables de l’incident enfant à l’incident de sécurité parent.
- Ferme ou annule l’incident de sécurité enfant lorsque l’incident de sécurité parent est fermé.
Options requises
Pour plus d’informations, consultez le ServiceNow Store.
Expérience d’analyste de sécurité
Pour comprendre comment résoudre les menaces de sécurité étape par étape, reportez-vous à la section Résoudre les menaces de sécurité avec le playbook.
Meilleure compréhension du playbook d’automatisation des incidents de sécurité enfants avec les options de Concepteur de flux
- Connectez-vous en tant qu’utilisateur disposant des rôles sn_si.user et flow_designer.
- Accédez à la et cliquez sur le playbook Failed Login (Échec de la connexion).
- Faites une copie du playbook d’automatisation des incidents de sécurité enfants et apportez les modifications nécessaires. (Il s’agit d’une étape facultative. Suivez cette étape uniquement si vous prévoyez de personnaliser le flux ou d’y apporter des modifications spécifiques.
- Apportez les modifications nécessaires en fonction de vos besoins. (Il s’agit d’une étape facultative. Suivez cette étape uniquement si vous prévoyez de personnaliser le flux ou d’y apporter des modifications spécifiques.
- Activez le playbook.
- Activez le flux principal pour utiliser le playbook disponible avec le système de base.
- Activez le flux copié après avoir apporté des modifications en fonction de vos besoins.
- Le champ d’incident de sécurité parent n’est pas vide.
- L’incident de sécurité parent est à l’état Brouillon, Analyse, Contenir ou Éradiquer.
Les étapes suivantes vous guident à travers les actions et les tâches disponibles dans le playbook d’automatisation des incidents de sécurité enfants.
- Lorsque le playbook commence à s’exécuter, à l’étape 1, si l’incident de sécurité est à l’état Brouillon, il est mis à jour et défini sur l’état Analyse.
- Aux étapes 2 et 3, les utilisateurs affectés par l’incident de sécurité sont récupérés et déployés sur l’incident de sécurité parent. Tous les utilisateurs en double sont éliminés.
- Aux étapes 4 et 5, les éléments de configuration associés à l’incident de sécurité enfant sont récupérés et les CI uniques sont déployés sur l’incident de sécurité parent.
- Aux étapes 6 et 7, les observables associés à l’incident de sécurité enfant sont récupérés et des observables uniques sont déployés sur l’incident de sécurité parent.
- Aux étapes 8 et 9, des notes de travail automatisées sont publiées pour les incidents de sécurité parent et enfant, indiquant que les utilisateurs, les éléments de configuration et les observables affectés ont été déployés de l’incident de sécurité enfant vers l’incident de sécurité parent.