Exécuter le flux du playbook de réponse d’hameçonnage automatisé

Rversion finale: Australia

Mis à jour 12 mars 2026

7 minutes de lecture

À l’aide du concepteur de flux, vous pouvez définir et automatiser des tâches dans le playbook pour analyser et résoudre les attaques d’hameçonnage contre votre organisation.

Avant de commencer

Rôle requis : sn_si.admin, flow_designer et action_designer
Installez et configurez les intégrations suivantes avec les informations d’identification correctes :
- Bloquer la demande (Opérations de sécurité intégration Palo Alto Networks NGFW)
- Enrichissement des éléments observables
- Recherche de perception
- Recherche de menace
- Microsoft Office Exchange

Pourquoi et quand exécuter cette tâche

Lorsque les employés reçoivent un e-mail suspect contenant les signes courants d’une attaque d’hameçonnage (tels que définis par vos politiques de sécurité), ils peuvent l’envoyer sous forme de . Pièce jointe EML à l’adresse e-mail de hameçonnage définie par votre organisation. À l’aide des tâches définies dans le flux du playbook d’hameçonnage automatisé, vous pouvez trier, analyser, contenir et éradiquer une menace d’hameçonnage. Ces tâches peuvent être invoquées dans le cadre de différents états d’incident (par exemple, Analyse, Contenir, etc.). Lorsqu’un incident de sécurité de hameçonnage est créé, le flux d’hameçonnage automatisé peut être déclenché automatiquement. Le concepteur de flux vous permet d’afficher les détails des différentes actions de réponse aux incidents au fur et à mesure qu’elles sont invoquées.

Remarque :

Le flux de playbook Incident de sécurité - Modèle de réponse d’hameçonnage automatisé V1 est en lecture seule. Vous pouvez effectuer une copie du flux et apporter les changements nécessaires.

Les étapes suivantes décrivent comment faire une copie du modèle de playbook d’hameçonnage et vous guident à travers certaines des tâches du flux.

Procédure

Accédez à la Tous > Concepteur de flux > Concepteur pour afficher les flux disponibles avec le Opérations de sécurité spoke.
Cliquez sur le lien Incident de sécurité : réponse automatisée par hameçonnage : modèle VI .
Sur la page Flux, cliquez sur , faites une copie du flux et ouvrez-le pour votre utilisation.
Vous pouvez modifier les conditions de déclenchement, ajouter ou supprimer des actions et apporter d’autres changements au flux.
Cette image montre les conditions de déclenchement et les étapes exécutées par le flux. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.
Cliquez sur l’icône Déclencher .
Dans la première étape, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions du déclencheur et la fréquence à laquelle vous souhaitez que le flux l’exécute.
Lorsque les conditions définies dans le flux (la catégorie est Hameçonnage et la source est E-mail) sont remplies dans l’enregistrement d’incident, les tâches du flux d’hameçonnage automatisé commencent à s’exécuter séquentiellement. Vous pouvez modifier le déclencheur, ajouter des annotations, ajouter ou supprimer des conditions, etc.
Cliquez sur le lien Mettre à jour l’enregistrement d’incident de sécurité .

Mettre à jour l’enregistrement d’incident de sécurité constitue la première étape du flux. Cliquez sur l’icône d’annotation pour ajouter une note à l’analyste de sécurité indiquant qu’un incident d’hameçonnage s’est produit et que le flux du playbook d’hameçonnage automatisé a commencé à s’exécuter.
Passez à l’étape 2 du flux, puis cliquez sur le lien Créer une tâche de réponse .

Dans cette étape, le flux crée une tâche de réponse automatisée pour accuser réception à l’émetteur de l’incident ou à l’utilisateur affecté.

Notez que le champ Tâche parente [Incident de sécurité] fait référence à l’enregistrement parent associé à cette étape. Vous pouvez choisir n’importe quel enregistrement de référence à l’aide de l’icône de sélection de pastilles de données, de ou faire glisser l’élément de référence pertinent dans le panneau de droite. Remarquez l’icône de verrouillage . L’icône de verrou indique que cette étape ne nécessite aucune intervention de l’utilisateur.
À l’étape 3, le flux collecte des détails supplémentaires sur l’utilisateur affecté (généralement l’utilisateur qui a soumis l’incident) pour s’assurer qu’il peut envoyer une notification avec succès.
Vous pouvez spécifier des conditions pour vérifier si l’état de l’utilisateur affecté est actif et si l’utilisateur est en mesure de recevoir des notifications.
Remarquez l’icône à l’étape 3. Le flux exécute l’étape suivante (3.1) uniquement si les conditions spécifiées sont remplies.

Lorsque les conditions définies à l’étape 3 ont été remplies avec succès, l’e-mail est envoyé.
À l’étape 4, une fois l’e-mail envoyé, la tâche de réponse est marquée comme fermée.
À l’étape 5, tous les observables impliqués dans l’incident (tels que l’objet de l’e-mail, l’adresse e-mail à partir de laquelle l’e-mail d’hameçonnage a été envoyé, l’URL d’hameçonnage) ou les observables appartenant à une catégorie sélectionnée (hachage, fichier ou domaine) sont collectés pour effectuer des actions automatisées supplémentaires dans les étapes suivantes du playbook.

Cliquez sur l’icône du concepteur pour afficher une vue détaillée de l’action.

Pour afficher la page Concepteur d’action , développez une étape dans le flux et cliquez sur l’icône Concepteur d’action.
À l’étape 6, une tâche de réponse automatisée est créée.
Cette tâche capture le début du processus d’obtention de la réputation de tous les observables et d’enrichissement avec des intégrations configurées.
À l’étape 7, deux flux secondaires sont appelés :
- Exécuter des recherches de menace pour les observables : ce flux secondaire est utilisé pour obtenir la réputation de tous les observables à l’aide d’implémentations de recherche de menace.
- Enrichir les observables : ce flux secondaire permet d’effectuer l’enrichissement des observables avec des implémentations configurées.
Notez les icônes de cette tâche. L’icône Opérations parallèles indique que les deux tâches seront effectuées en parallèle et l’icône de flux secondaire indique que la tâche en cours d’exécution est un flux secondaire, comme indiqué ci-dessous :

Notez le chiffre 5 dans le champ des observables. Cela indique que la recherche de menace sera exécutée sur les observables récupérés à l’étape 5. Ce flux secondaire appelle à son tour des workflows et des actions existants, comme indiqué dans le concepteur de flux secondaires.
À l’étape 8, une fois les flux secondaires terminés, la tâche de réponse est marquée comme étant Fermée.
À l’étape 9, le flux secondaire Confirmer la menace à partir du triage de l’observable est appelé.
Ce flux secondaire est utilisé pour confirmer la présence d’un indicateur de menace dans l’incident. Si la menace est confirmée, un marqueur « IOC détecté » est ajouté à l’incident.
Lorsque la menace est confirmée, à l’étape 10, vous mettez à jour l’incident de sécurité et ajoutez une note indiquant que des tâches de maîtrise de la menace seront lancées.
L’étape 11 est une tâche de réponse automatisée qui capture le début et la fin de la tâche utilisée pour évaluer l’impact des e-mails d’hameçonnage.
À l’étape 12, le flux secondaire Évaluer l’impact des e-mails d’hameçonnage est appelé.
Ce flux secondaire est utilisé pour rechercher les utilisateurs qui ont reçu l’e-mail d’hameçonnage à l’aide d’implémentations prises en charge.
À l’étape 13, la tâche est marquée comme fermée pour indiquer que le flux secondaire Évaluer l’impact de l’e-mail d’hameçonnage a été exécuté.
L’étape 14 est utilisée pour récupérer tous les observables qui ont été marqués comme malveillants.
L’étape 15 est une tâche de réponse automatisée qui capture le début et l’achèvement de la tâche Recherche de perception des observables.
À l’étape 16, le flux secondaire Exécuter une recherche de perception sur les observables est appelé.
Ce flux secondaire effectue une recherche de perception à l’aide de l’implémentation configurée.
À l’étape 17, la tâche est marquée comme fermée pour indiquer que le flux secondaire Exécuter une recherche de perception sur les observables a été terminé.
Une fois que vous avez identifié les observables malveillants, à l’étape 18, vous mettez à jour l’enregistrement d’incident de sécurité pour indiquer que les actions de confinement vont maintenant commencer.
L’étape 19 est une tâche de réponse automatisée qui capture le début et l’achèvement de la tâche de demandes de bloc.
À l’étape 20, le flux secondaire Créer des demandes de bloc est appelé.
Ce flux secondaire est utilisé pour bloquer les observables malveillants.
À l’étape 21, la tâche est marquée comme fermée pour indiquer que le flux secondaire Créer des demandes de bloc a été terminé.
À l’étape 22, le flux secondaire Éradiquer les e-mails d’hameçonnage est appelé.
Ce flux secondaire est utilisé pour supprimer les e-mails d’hameçonnage des boîtes aux lettres des utilisateurs.
Une fois les e-mails d’hameçonnage supprimés, à l’étape 23, vous mettez à jour l’enregistrement d’incident de sécurité pour indiquer que le statut de l’incident doit être examiné.
Dans la dernière étape, le flux crée une tâche de réponse automatisée.
Cette tâche est utilisée pour envoyer un rappel à l’analyste de sécurité afin qu’il enregistre toutes les actions de réponse aux incidents pour des examens futurs.

Que faire ensuite

Vous pouvez cliquer sur Test pour simuler les actions dans le flux avant de le publier. Après avoir testé le flux, cliquez sur Activer pour activer le flux et l’exécuter.

Cliquez sur Exécutions pour afficher les détails d’exécution du flux.

Flux d’hameçonnage automatisé : exécution