Résolvez les menaces de sécurité avec le playbook

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Utilisez le playbook pour résoudre certains types de menaces de sécurité étape par étape. Par exemple, vous pouvez résoudre les attaques de phishing et les menaces causées par une activité de code malveillant à l’aide de playbooks.

    Avant de commencer

    Rôle requis : sn_si.admin ou admin

    Pourquoi et quand exécuter cette tâche

    Chaque groupe de tâches (Analyse, Maîtriser, etc.) vous guide à travers une série de questions et d’autres activités pour résoudre la menace.
    Figure 1. Playbook
    Exemple de playbook

    Au fur et à mesure que vous travaillez sur chaque tâche, saisissez des notes de travail pour vous aider à analyser les attaques similaires à l’avenir. Une fois qu’une menace est identifiée, vous pouvez également utiliser les informations contenues dans le playbook pour mettre en quarantaine la menace, isoler les actifs affectés de manière similaire et supprimer les programmes malveillants.

    Les articles de la base de connaissances, inclus dans chaque tâche, fournissent des conseils et d’autres informations pour vous aider à effectuer les étapes nécessaires.
    Figure 2. Articles de la base de connaissances
    Article de la base de connaissances prenant en charge la tâche d’hameçonnage

    Le système de base inclut des articles de la base de connaissances pour chacune des tâches du playbook. Vous pouvez, cependant, écrire vos propres articles de la base de connaissances et les associer à des tâches de playbook.

    Remarque :
    Pour obtenir un exemple d’utilisation du playbook en vue d’analyser et de résoudre une menace spécifique, reportez-vous à Résoudre les attaques de phishing signalées par les utilisateurs avec le playbook.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Incidents (nouvelle UI).
      L’écran Incidents de sécurité affiche les incidents de sécurité qui vous ont été affectés.
      Incidents de sécurité
    2. Vous pouvez cliquer sur la liste de choix Mes affectations pour sélectionner un autre filtre, par exemple tous les incidents ouverts ou tous les incidents non affectés.
      Vous pouvez également cliquer sur l’un des filtres rapides pour afficher les incidents de sécurité d’un type particulier, par exemple uniquement les incidents critiques.
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      Envisagez de donner la priorité aux incidents de sécurité avec des scores de risque élevés.

    4. Si le volet du playbook sur le côté droit de l’écran est fermé, cliquez sur l’icône du playbook ( Playbook) pour l’ouvrir.
      Si aucun playbook n’est affecté à l’incident de sécurité, vous pouvez sélectionner un playbook dans la liste de choix Playbook sélectionné, comme indiqué ci-dessous :

      Sélectionner un playbook
      Vous pouvez également affecter un autre playbook à l’incident de sécurité. Pour inclure un playbook dans la liste de choix de Playbooks sélectionnés ou pour modifier le playbook pour un incident de sécurité, consultez Activer les playbooks pour la sélection des analystes pour en savoir plus.

      Le playbook spécifique au type de menace de sécurité s’ouvre. Il est divisé en catégories de tâches similaires. Par exemple, vous utilisez les tâches du groupe Analyse pour déterminer la validité et l’étendue de la menace. Le groupe Contenir inclut des tâches permettant d’isoler la menace pour un utilisateur ou un actif spécifique. Les tâches du groupe Éradiquer vous guident tout au long du processus de suppression du programme malveillant ou de création d’une nouvelle image de l’hôte.

    5. Cliquez sur le premier groupe (Analyse), puis cliquez sur la première tâche dans le playbook.
    6. Suivez les invites de la tâche.
      • Certaines tâches posent une question, par exemple : « L’e-mail fait-il partie de la campagne ? » Effectuez l’analyse nécessaire pour répondre à la question, puis sélectionnez Oui ou Non.
      • Si vous avez défini des articles de la base de connaissances et les avez associés à des tâches de playbook, les articles s’affichent lorsque vous commencez à travailler sur une tâche.
      • Certaines tâches sont transitoires. Ils vous demandent simplement d’effectuer une action, comme ajouter des observables à un incident de sécurité. Une fois l’action terminée, cliquez sur Marquer comme terminée.
      Au fur et à mesure que vous effectuez les tâches, les tâches suivantes vous sont présentées en fonction des choix que vous faites. Les groupes grisés (tels que Récupérer, Réviser, etc.) peuvent être activés par vos choix.
    7. Continuez à travailler sur chaque tâche qui vous est présentée jusqu’à ce que vous ayez terminé toutes les tâches pour résoudre la menace et fermer l’incident de sécurité.

    Résoudre les attaques de phishing signalées par les utilisateurs avec le playbook

    Le playbook Hameçonnage vous guide à travers les tâches nécessaires à l’analyse et à la résolution d’une attaque de hameçonnage signalée par l’un des employés de votre société.

    Comment les incidents de sécurité sont créés à partir d’attaques de phishing signalées par des utilisateurs

    Pendant la configuration de Security Incident Response, votre administrateur système crée une série de règles de correspondance des e-mails qui peuvent identifier les e-mails contenant des signes d’attaque de phishing. Lorsque les employés reçoivent un e-mail suspect contenant les signes courants d’une attaque de phishing (tels que définis par vos politiques de sécurité), ils peuvent l’envoyer sous la forme d’un fichier . Pièce jointe EML à l’adresse e-mail d’hameçonnage définie par votre organisation.

    Lorsque l’e-mail est reçu à l’adresse e-mail d’hameçonnage, le fichier . La pièce jointe EML est analysée et ses informations sont comparées aux règles de correspondance des e-mails. Si une correspondance est trouvée, un incident de sécurité contenant les informations suivantes est créé :
    • La brève description inclut le hameçonnage signalé par l’utilisateur, suivi de l’objet réel de l’e-mail d’origine.
    • Lla. Le fichier EML est joint à l’incident de sécurité.
    • Si l’extension . EML contient tous les observables, ceux-ci sont analysés, et l’enrichissement et les recherches de menaces sont automatiquement effectués.
    Figure 3. Hameçonnage signalé par un utilisateur
    Incident de sécurité hameçonnage signalé par un utilisateur
    Lorsqu’un incident de sécurité de catégorie Hameçonnage est ouvert, le Playbook d’hameçonnage est automatiquement disponible. Cliquez simplement sur l’icône du playbook ( Playbook) pour ouvrir le playbook.
    Figure 4. Manuel d’hameçonnage
    Volet du playbook d’hameçonnage

    Le playbook d’hameçonnage contient des tâches pour vous aider à analyser, contenir et éradiquer une menace d’hameçonnage. Les tâches sont organisées en états (par exemple, Analyse, Contenir, etc.). Lorsque toutes les tâches d’un état sont terminées, le playbook vous guide vers l’état suivant.

    Analyser les détails de l’incident de sécurité

    Lorsque l’incident de sécurité est à l’état Analyse, vous recevez des tâches pour effectuer une enquête de base sur l’incident, notamment :
    • Détermination de la validité de l’incident.
    • Étude de l’impact de la menace potentielle.
    • Coordination d’une réponse efficace à l’incident.
    Au fur et à mesure que vous progressez sur les tâches :
    • Familiarisez-vous avec les articles de la base de connaissances.
    • Ouvrez la pièce jointe de l’e-mail et examinez-la pour détecter des signes d’éléments d’hameçonnage courants.
    • Examinez les résultats de la recherche de menaces.

    Contenir l’incident de sécurité

    Lorsque l’incident de sécurité est dans l’état Maîtriser , vous recevez des tâches d’examen des détails de l’e-mail. Pour vous assurer que les menaces ne peuvent pas pénétrer dans votre organisation, mettez à jour les défenses de votre réseau, sous la forme de signatures et de règles des systèmes de défense contre les intrusions (IDS) et IPS (Intrusion Prevention System).

    Au fur et à mesure que vous progressez sur les tâches :
    • Prenez des mesures pour limiter l’impact des menaces, telles que l’isolement des appareils impactés.
    • Examinez les observables joints à l’e-mail.
    • Déterminez si le contenu d’un e-mail est associé à une menace connue, notamment :
      • URL
      • Expéditeur d’e-mail
      • URL d’hameçonnage
      • Adresse IP du serveur SMTP de l’expéditeur

    Éradiquer les logiciels malveillants

    Une fois que vous avez déployé des signatures et des règles mises à jour dans votre solution antivirus, utilisez les tâches à l’état Éradiquer pour déterminer si un programme malveillant est présent et traitez-le en conséquence.

    Au fur et à mesure que vous effectuez les tâches :
    • Analysez les points de terminaison des appareils affectés pour détecter la présence de programmes malveillants.
    • Supprimez tous les logiciels malveillants détectés.
    • En dernier recours, effacez et modifiez l’image des appareils hôtes.

    Examen de l’incident de sécurité

    Si vous avez déterminé qu’une attaque de hameçonnage était une fausse alerte lors de l’exécution des tâches d’analyse, l’incident de sécurité passe à l’état Examiner et vous devez en informer vos utilisateurs afin qu’ils sachent qu’ils peuvent ouvrir la pièce jointe à l’e-mail en toute sécurité.

    Fermeture de l’incident de sécurité

    Lorsque toutes les tâches du playbook sont terminées, l’incident de sécurité passe à l’état Fermé . Vous devez saisir des commentaires de fermeture pour pouvoir fermer l’incident.

    Annulation d’un incident de sécurité

    Lorsqu’un incident de sécurité est à l’état Examiner et que vous avez informé vos utilisateurs que l’e-mail n’est pas une menace, l’état Annulé devient actif et vous pouvez annuler l’incident de sécurité.

    Remarque :
    La tâche de récupération n’est pas utilisée dans le playbook Hameçonnage.

    Associer un article de la base de connaissances à une tâche playbook

    Lorsque vous analysez les menaces de sécurité à l’aide du Réponse aux incidents de sécurité playbook, vous pouvez consulter les articles de la base de connaissances pour chaque tâche si elle est définie par votre organisation. Si les articles de la base de connaissances ne sont pas présents, vous pouvez les créer et les associer à des tâches de playbook.

    Avant de commencer

    Lorsque vous utilisez le playbook dans Réponse aux incidents de sécurité, notez le texte associé à chaque tâche. Par exemple, la première tâche de la catégorie Hameçonnage est L’alerte a-t-elle été soumise par l’employé ? Il s’agit de la brève description de la tâche. Vous avez besoin de ce texte (exactement tel qu’il apparaît dans le playbook) pour associer un article de la base de connaissances à la tâche.

    Rôle requis : sn_sir.knowledge_admin et sn_si.admin ou admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Catalogue et base de connaissances > Connaissances.
    2. Créez et publiez un article de la base de connaissances pour une tâche de playbook spécifique.
    3. Accédez à la Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    4. Créez un runbook, en remplissant les informations suivantes :
      Champ Description
      Article de la base de connaissances Sélectionnez l’article de la base de connaissances publié que vous souhaitez associer à la tâche du playbook.
      Table Sélectionnez Réponse aux incidents de sécurité la tâche [sn_si_task].
      Condition Définissez le créateur de condition sur :
      • Option: Sélectionnez Brève description.
      • Opérateur:Sélectionnez Est.
      • Valeur d’entrée : Saisissez la brève description de la tâche, exactement telle qu’elle apparaît dans le playbook.
    5. Cliquez sur Envoyer.
      La prochaine fois que vous exécuterez le playbook et sélectionnerez cette tâche, l’article de la base de connaissances associé s’affichera.

    Ajouter une tâche personnalisée au playbook

    Le Security Analyst Workspace système de base comprend une série de tâches pour chaque catégorie de menace. Vous pouvez créer des tâches personnalisées qui répondent aux besoins uniques de votre système ou de vos clients.

    Avant de commencer

    Rôle requis : sn_si.basic ou security_admin

    Procédure

    1. Une fois le playbook ouvert, cliquez sur Ajouter une tâche.
      Cliquez sur le bouton Ajouter une tâche
      L’écran Ajouter une tâche personnalisée s’ouvre.
      Ajouter une tâche Playbook personnalisée
    2. Renseignez les champs nécessaires.
      Champ Description
      Numéro [Lecture seule] Numéro de tâche d’incident de sécurité généré automatiquement.
      Parent Numéro de l’incident de sécurité associé.
      Élément de configuration Élément de configuration affecté par le problème de sécurité, le cas échéant.
      Utilisateur affecté Utilisateur affecté par le problème de sécurité, le cas échéant.
      Priorité Sélectionnez la priorité utilisée pour déterminer quand cette tâche doit être effectuée.
      État de l'incident de sécurité État actuel de la tâche de réponse de sécurité. Vous pouvez sélectionner un état futur, si nécessaire.
      Type de résultat Si vous disposez du rôle sn_si.basic, sélectionnez Oui/Non comme type de résultat.

      Si vous disposez du rôle security_admin, vous pouvez créer un type de résultat personnalisé avec plusieurs valeurs de sortie personnalisées. Par exemple, vous pouvez définir une tâche avec des valeurs dépendantes en fonction de la catégorie de menace. Pour plus d’informations, consultez Listes de choix
      Groupe d'affectation Groupe d’affectation à partir duquel l’agent affecté sera sélectionné.
      Affecté à Personne affectée à l’exécution de la tâche.
      Description courte Description de la tâche du playbook d’incident de sécurité.
      Description Entrez une description pour la tâche sélectionnée.
    3. Lorsque vous avez terminé vos entrées, cliquez sur Ajouter une tâche.
      La tâche est insérée dans le playbook après la tâche actuelle.