Résoudre les menaces de sécurité avec le playbook

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 9 minutes de lecture

    • Utilisez le playbook pour résoudre certains types de menaces de sécurité étape par étape. Par exemple, vous pouvez résoudre les attaques d’hameçonnage et les menaces causées par l’activité d’un code malveillant à l’aide de playbooks.

    Avant de commencer

    Rôle requis : sn_si.admin ou admin

    Pourquoi et quand exécuter cette tâche

    Chaque groupe de tâches (analyse, contenir, etc.) vous guide à travers une série de questions et d’autres activités pour résoudre la menace.
    Figure 1. Playbook
    Exemple de playbook

    Au fur et à mesure que vous travaillez sur chaque tâche, saisissez des notes de travail pour aider à analyser des attaques similaires à l’avenir. Une fois qu’une menace est identifiée, vous pouvez également utiliser les informations du playbook pour mettre la menace en quarantaine, isoler les actifs affectés de la même manière et supprimer les programmes malveillants.

    Les articles de la base de connaissances, inclus dans chaque tâche, fournissent des conseils et d’autres informations pour vous aider à effectuer les étapes nécessaires.
    Figure 2. Articles de la base de connaissances
    Article de la base de connaissances à l’appui de la tâche d’hameçonnage

    Le système de base inclut des articles de la base de connaissances pour chacune des tâches du playbook. Vous pouvez toutefois écrire vos propres articles de la base de connaissances et les associer à des tâches de playbook.

    Remarque :
    Pour obtenir un exemple d’utilisation du playbook pour analyser et résoudre une menace spécifique, reportez-vous à la section Résolution des attaques de phishing signalées par les utilisateurs avec le playbook.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Incidents (nouvelle interface utilisateur).
      L’écran Incidents de sécurité affiche les incidents de sécurité qui vous ont été affectés.
      Incidents de sécurité
    2. Vous pouvez cliquer sur la liste de choix Affecté à moi pour sélectionner un autre filtre, tel que tous les incidents ouverts ou tous les incidents non affectés.
      Vous pouvez également cliquer sur l’un des filtres rapides pour afficher les incidents de sécurité d’un type particulier, tels que les incidents critiques uniquement.
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      Envisagez de donner la priorité aux incidents de sécurité présentant des scores de risque élevés.

    4. Si le volet du playbook sur le bord droit de l’écran est fermé, cliquez sur l’icône du playbook ( Playbook) pour l’ouvrir.
      Si aucun playbook n’est affecté à l’incident de sécurité, vous pouvez sélectionner un playbook dans la liste de choix Playbook sélectionné, comme indiqué ci-dessous :

      Sélectionner un playbook
      Vous pouvez également affecter un autre playbook à l’incident de sécurité. Pour inclure un playbook dans la liste de choix du playbook sélectionné ou pour modifier le playbook pour un incident de sécurité, consultez la rubrique Activer les playbooks pour la sélection d’analystes pour en savoir plus.

      Le playbook spécifique au type de menace de sécurité s’ouvre. Il est divisé en catégories de tâches similaires. Par exemple, vous utilisez les tâches du groupe Analyse pour déterminer la validité et l’étendue de la menace. Le groupe Contenir comprend des tâches permettant d’isoler la menace pour un utilisateur ou un actif spécifique. Les tâches du groupe Éradiquer vous guident tout au long du processus de suppression du logiciel malveillant ou de réimagerie de l’hôte.

    5. Cliquez sur le premier groupe (Analyse), puis sur la première tâche dans le playbook.
    6. Suivez les invites de la tâche.
      • Certaines tâches posent une question, telle que « L’e-mail fait-il partie de la campagne ? » Effectuez l’analyse nécessaire pour répondre à la question et sélectionnez Oui ou Non.
      • Si vous avez défini des articles de la base de connaissances et que vous les avez associés à des tâches de playbook, les articles s’affichent lorsque vous démarrez le travail sur une tâche.
      • Certaines tâches sont transitoires. Ils vous demandent simplement d’effectuer une action, comme ajouter des observables à un incident de sécurité. Une fois l’action terminée, cliquez sur Marquer comme terminé.
      Au fur et à mesure que vous accomplissez des tâches, les tâches suivantes vous sont présentées en fonction des choix que vous faites. Les groupes grisés (tels que Récupérer, Revoir, etc.) peuvent être activés par vos choix.
    7. Continuez à travailler sur chaque tâche qui vous est présentée jusqu’à ce que vous ayez terminé toutes les tâches de résolution de la menace et de fermeture de l’incident de sécurité.

    Résolution des attaques de phishing signalées par les utilisateurs avec le playbook

    Le playbook d’hameçonnage vous guide à travers les tâches nécessaires à l’analyse et à la résolution d’une attaque d’hameçonnage signalée par l’un des employés de votre entreprise.

    Comment les incidents de sécurité sont créés à partir d’attaques de phishing signalées par les utilisateurs

    Pendant la configuration de Réponse aux incidents de sécurité, votre administrateur système crée une série de règles de correspondance des e-mails qui peuvent identifier les e-mails contenant des signes d’attaque d’hameçonnage. Lorsque les employés reçoivent un e-mail suspect contenant les signes courants d’une attaque d’hameçonnage (tels que définis par vos politiques de sécurité), ils peuvent l’envoyer sous forme de . Pièce jointe EML à l’adresse e-mail de hameçonnage définie par votre organisation.

    Lorsque l’e-mail est reçu à l’adresse e-mail de hameçonnage, le fichier . La pièce jointe EML est analysée et ses informations sont comparées aux règles de correspondance des e-mails. Si une correspondance est trouvée, un incident de sécurité contenant les informations suivantes est créé :
    • La brève description inclut le hameçonnage signalé par les utilisateurs, suivi de l’objet réel de l’e-mail d’origine.
    • Le . Le fichier EML est joint à l’incident de sécurité.
    • Si le . EML contenait tous les observables, ils sont analysés et l’enrichissement et les recherches de menaces sont automatiquement effectués.
    Figure 3. Hameçonnage signalé par un utilisateur
    Incident de sécurité d’hameçonnage signalé par un utilisateur
    Lorsqu’un incident de sécurité de catégorie hameçonnage est ouvert, le playbook d’hameçonnage est automatiquement disponible. Cliquez simplement sur l’icône du playbook ( Playbook) pour ouvrir le playbook.
    Figure 4. Playbook d’hameçonnage
    Volet du playbook d’hameçonnage

    Le playbook d’hameçonnage contient des tâches pour vous aider à analyser, contenir et éradiquer une menace d’hameçonnage. Les tâches sont organisées en états (par exemple, Analyse, Contenir, etc.). Lorsque toutes les tâches pour un état ont été terminées, le playbook vous guide vers l’état suivant.

    Analyse des détails de l’incident de sécurité

    Lorsque l’incident de sécurité est à l’état Analyse, vous devez effectuer des enquêtes de base sur l’incident, notamment :
    • détermination de la validité de l’incident.
    • Étudier l’impact de la menace potentielle.
    • Coordonner une réponse efficace à l’incident.
    Pendant que vous accomplissez les tâches :
    • Familiarisez-vous avec les articles de la base de connaissances.
    • Ouvrez la pièce jointe de l’e-mail et examinez-la pour détecter des signes d’éléments d’hameçonnage courants.
    • Examinez les résultats de la recherche de menaces.

    Maîtrise de l’incident de sécurité

    Lorsque l’incident de sécurité est à l’état Maîtriser , vous devez examiner les détails de l’e-mail. Pour vous assurer que les menaces ne peuvent pas pénétrer dans votre organisation, mettez à jour les défenses de votre réseau, sous la forme de signatures et de règles du système de défense contre les intrusions (IDS) et du système de prévention des intrusions (IPS).

    Pendant que vous accomplissez les tâches :
    • Prenez des mesures pour limiter les impacts des menaces, telles que l’isolation des appareils impactés.
    • Examinez les observables joints à l’e-mail.
    • Déterminez si le contenu d’un e-mail est associé à une menace connue, notamment :
      • URL
      • Expéditeur d'e-mail
      • URL de hameçonnage
      • Adresse IP du serveur SMTP de l’expéditeur

    Éradiquer le programme malveillant

    Une fois que vous avez déployé des signatures et des règles mises à jour dans votre solution antivirus, utilisez les tâches à l’état Éradiquer pour déterminer la présence d’un programme malveillant et le gérer en conséquence.

    Pendant que vous accomplissez les tâches :
    • Analysez les points de terminaison des appareils affectés pour détecter la présence de programmes malveillants.
    • Supprimez tout programme malveillant trouvé.
    • En dernier recours, effacez et recréez l’image des appareils hôtes.

    Examen de l’incident de sécurité

    Si vous avez déterminé qu’une attaque d’hameçonnage était une fausse alerte lors de l’exécution des tâches d’analyse, l’incident de sécurité passe à l’état Examiner et vous devez informer vos utilisateurs afin qu’ils sachent qu’il est possible d’ouvrir la pièce jointe de l’e-mail en toute sécurité.

    Fermeture de l’incident de sécurité

    Lorsque toutes les tâches du playbook ont été terminées, l’incident de sécurité passe à l’état Fermé . Vous devez saisir des commentaires de fermeture pour pouvoir fermer l’incident.

    Annulation d’un incident de sécurité

    Lorsqu’un incident de sécurité est à l’état Examiner et que vous avez informé vos utilisateurs que l’e-mail ne constitue pas une menace, l’état Annulé devient actif et vous pouvez annuler l’incident de sécurité.

    Remarque :
    La tâche de récupération n’est pas utilisée dans le playbook d’hameçonnage.

    Associer un article de la base de connaissances à une tâche de playbook

    Lorsque vous analysez les menaces de sécurité à l’aide du playbook, vous pouvez consulter les Réponse aux incidents de sécurité articles de la base de connaissances pour chaque tâche si elle est définie par votre organisation. Si les articles de la base de connaissances ne sont pas présents, vous pouvez les créer et les associer à des tâches de playbook.

    Avant de commencer

    Lorsque vous utilisez le playbook dans Réponse aux incidents de sécurité, notez le texte associé à chaque tâche. Par exemple, la première tâche de la catégorie Hameçonnage est Alerte a-t-elle été envoyée par l’employé ? Il s’agit de la brève description de la tâche et vous avez besoin de ce texte (exactement comme il apparaît dans le playbook) pour associer un article de la base de connaissances à la tâche.

    Rôle requis : sn_sir.knowledge_admin et sn_si.admin ou admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Catalogue et base de connaissances > Base de connaissances.
    2. Créez et publiez un article de la base de connaissances pour une tâche de playbook spécifique.
    3. Accédez à la Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    4. Créez un runbook en remplissant les informations suivantes :
      Champ Description
      Article de la base de connaissances Sélectionnez l’article de la base de connaissances publié que vous souhaitez associer à la tâche de playbook.
      Table Sélectionnez Réponse aux incidents de sécurité la tâche [sn_si_task].
      Condition Définissez le générateur de conditions sur :
      • En option : Sélectionnez Description brève.
      • Opérateur :Sélectionnez is.
      • Valeur d’entrée : Saisissez la description brève de la tâche, telle qu’elle apparaît dans le playbook.
    5. Cliquez sur Envoyer.
      La prochaine fois que vous exécuterez le playbook et sélectionnerez cette tâche, l’article de la base de connaissances associé s’affichera.

    Ajouter une tâche personnalisée au playbook

    Le Security Analyst Workspace système de base comprend une série de tâches pour chaque catégorie de menace. Vous pouvez créer des tâches personnalisées qui répondent aux besoins uniques de votre système ou de vos clients.

    Avant de commencer

    Rôle requis : sn_si.basic ou security_admin

    Procédure

    1. Une fois le playbook ouvert, sélectionnez Add Task (Ajouter une tâche).
      L’écran Ajouter une tâche personnalisée s’ouvre.
    2. Renseignez les champs selon vos besoins.
      Champ Description
      Numéro [En lecture seule] Numéro de tâche d’incident de sécurité généré automatiquement.
      Société parente Numéro de l’incident de sécurité connexe.
      Élément de configuration Élément de configuration affecté par le problème de sécurité, le cas échéant.
      Utilisateur affecté Utilisateur affecté par le problème de sécurité, le cas échéant.
      Priorité Sélectionnez la priorité utilisée pour déterminer quand cette tâche doit être effectuée.
      État de l'incident de sécurité État actuel de la tâche de réponse de sécurité. Vous pouvez sélectionner un état futur, si nécessaire.
      Type de résultat Si vous disposez du rôle sn_si.basic, sélectionnez Oui/Non comme type de résultat.

      Si vous disposez du rôle security_admin, vous pouvez créer un type de résultat personnalisé avec plusieurs valeurs de sortie personnalisées. Par exemple, vous pouvez définir une tâche avec des valeurs dépendantes en fonction de la catégorie de menace. Pour plus d’informations, voir Listes de choix.
      Groupe d'affectation Groupe d’affectation à partir duquel l’agent affecté sera sélectionné.
      Affecté à Personne affectée à l’exécution de la tâche.
      Description courte Description de la tâche du playbook d’incident de sécurité.
      Description Entrez une description pour la tâche sélectionnée.
    3. Lorsque vous avez terminé vos entrées, sélectionnez Ajouter une tâche.
      La tâche est insérée dans le playbook après la tâche actuelle.