Utiliser le playbook de détection de répétition

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Utilisez ce playbook pour déterminer si la réponse à un incident a été fournie sur un rapport de hameçonnage exact ou similaire dans le passé et fonctionne automatiquement sur le nouveau rapport de la même manière. Les étapes suivantes vous fournissent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook de détection de répétition.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, le playbook récupère la date relative de l’incident de sécurité à l’aide de la configuration du jour.
    2. Dans l’action 2, le playbook recherche les enregistrements d’observables de tâche dans la table sn_ti_m2m_task_observable qui correspondent à l’incident en fonction de l’ID du message.
    3. Dans l’action 3, le playbook compare les observables de tâche et le corps de l’e-mail à l’aide de l’algorithme de Levenshtein pour les incidents qui correspondaient à l’ID du message.
    4. Dans l’action 4, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie si l’incident correspondant est trouvé en fonction de l’ID du message ou non.
      Dans l’action 5, si l’incident correspondant est trouvé, le playbook met automatiquement à jour la note de travail indiquant qu’une correspondance a été trouvée en fonction de l’automatisation de la détection de répétition. Dans l’action 6, le flux s’arrête.
    5. Si l’incident correspondant est introuvable, lors de l’action 7, le playbook recherche les enregistrements d’observables de tâche sur la table sn_ti_m2m_task_observable qui correspondent à l’incident en fonction du sujet.
    6. Dans l’action 8, le playbook compare les observables de tâche et le corps de l’e-mail à l’aide de l’algorithme de Levenshtein pour les incidents qui correspondaient à l’objet.
    7. Dans l’action 9, le playbook vérifie si l’incident correspondant est trouvé ou non.
      Dans l’action 10, si l’incident correspondant est trouvé, le playbook met automatiquement à jour la note de travail indiquant qu’une correspondance a été trouvée en fonction de l’automatisation de la détection de répétition. Dans l’action 11, le flux s’arrête.
    8. Dans l’action 12, le playbook recherche les enregistrements d’observables de tâche sur la table sn_ti_m2m_task_observable qui correspondent à l’incident en fonction de l’adresse.
    9. Dans l’action 13, le playbook compare les observables de tâche et le corps de l’e-mail à l’aide de l’algorithme de Levenshtein pour les incidents qui correspondaient à l’adresse.
    10. Dans l’action 14, le playbook vérifie si l’incident correspondant est trouvé en fonction de l’adresse ou non.
      Dans l’action 15, si l’incident correspondant est trouvé, le playbook met automatiquement à jour la note de travail indiquant qu’une correspondance a été trouvée en fonction de l’automatisation de la détection de répétition. Dans l’action 16, le flux s’arrête.