Actions du playbook Security Incident Response

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Cette section décrit les actions fournies dans la bibliothèque d’actions de Concepteur de flux.

    Nom de l'action Description Exemple de scénario
    Ajouter une balise de sécurité à l’incident de sécurité Utilisez cette action pour ajouter automatiquement une balise de sécurité à l’aide de la logique Flow Designer. Si le flux détecte un IOC, la balise IOC détecté peut être automatiquement ajoutée à l’aide de cette action.

    Flux :
    • Entrée : incident de sécurité, balise de sécurité
    • Sortie : non applicable
    Ajouter des observables à l’incident de sécurité Utilisez cette action pour ajouter des observables à un incident de sécurité sélectionné.
    • Par défaut, la liste des observables est séparée par le délimiteur virgule (,) mais cela peut être modifié. Vous pouvez spécifier un autre caractère spécial comme délimiteur. Lors de l’ajout d’observables, le type (URL, adresse IP, hachage) est automatiquement défini.
    • Lorsque les observables sont ajoutés à l’incident de sécurité, le type (URL, adresse IP, hachage) est automatiquement défini.
    • Lorsque les observables sont ajoutés, l’option Filtrer les observables sur la liste d’autorisation identifie les observables de la liste d’autorisation et ne les ajoute pas à la liste connexe des observables de l’incident de sécurité. Une activité système automatisée (réponse) est ajoutée pour indiquer que ces observables ont été supprimés.
    • Entrée :
      • incident de sécurité
      • observables
      • délimiteur
      • Filtrer les observables sur la liste d’autorisation et publier la note d’activité
    • Sortie : non applicable
    Obtenir les utilisateurs affectés (listes connexes) par plusieurs incidents de sécurité V1 Récupère tous les utilisateurs affectés répertoriés dans la liste connexe Utilisateurs affectés pour les incidents de sécurité spécifiés. Vous pouvez avoir des incidents de sécurité parents avec plusieurs incidents de sécurité enfants. Utilisez cette action pour déployer les utilisateurs affectés de tous les incidents de sécurité enfants sur les incidents de sécurité parents correspondants. Seuls les utilisateurs affectés uniques sont déployés et tous les doublons sont éliminés.
    • Entrée : incidents de sécurité
    • Sortie :
      • Utilisateur affecté
      • compter
    Obtenir les utilisateurs affectés par plusieurs incidents de sécurité Récupère l’utilisateur principal affecté pour l’incident de sécurité spécifié. Elle n’inclut pas les utilisateurs affectés de la liste connexe Utilisateurs affectés.
    • Lors de l’enquête sur un incident de sécurité de hameçonnage, envoyez un e-mail aux principaux utilisateurs affectés (qui ont signalé l’incident d’hameçonnage) pour confirmer si l’un des utilisateurs a cliqué sur les liens malveillants contenus dans l’e-mail d’hameçonnage.
    • Mettez à jour la gravité ou le score de risque de l’incident de sécurité parent en fonction du nombre d’utilisateurs principaux affectés.
    • Entrée : incidents de sécurité
    • Sortie :
      • Utilisateurs affectés
      • compter
    Obtenir les utilisateurs affectés (liste connexe) à partir d’un incident de sécurité Récupère tous les utilisateurs affectés répertoriés dans la liste connexe Utilisateurs affectés pour un incident de sécurité spécifié.
    • Entrée : incidents de sécurité
    • Sortie :
      • Utilisateurs affectés
      • compter
    Ajouter des utilisateurs affectés à un incident de sécurité Ajoute tous les utilisateurs affectés à un incident de sécurité. Supposons que vous ayez un incident de sécurité parent avec plusieurs incidents de sécurité enfants. Vous pouvez utiliser cette action pour déployer les utilisateurs affectés de tous les incidents de sécurité enfants sur l’incident de sécurité parent correspondant. Seuls les utilisateurs affectés uniques sont déployés et tous les doublons sont éliminés.
    • Entrée :
      • incident de sécurité
      • utilisateur
    • Sortie : non applicable
    Obtenir les éléments de configuration des utilisateurs affectés Récupère les éléments de configuration (CI) de tous les utilisateurs affectés. Dans les scénarios d’hameçonnage ou de programme malveillant, vous pouvez utiliser cette action pour mettre à jour la liste connexe des éléments de configuration (CI) affectés et examiner les CI. Vous pouvez ensuite mettre à jour la gravité ou le score de risque de l’incident de sécurité en fonction du nombre de CI identifiés.
    • Entrée : users
    • Sortie :
      • Éléments de configuration
      • compter
    Obtenir tous les incidents de sécurité enfants pour un incident de sécurité Récupère tous les incidents de sécurité enfants liés à un incident de sécurité parent spécifique. Exemple de scénario : utilisez cette action pour :
    • Mettre à jour l’état des incidents de sécurité enfants lorsque leur état des incidents de sécurité parents correspondants est mis à jour.
    • Mettez à jour automatiquement la gravité ou le score de risque de l’incident de sécurité en fonction du nombre d’incidents de sécurité enfants.
    • Entrée :
      • incident de sécurité
      • État de l’incident
    • Sortie :
      • incident de sécurité enfant
      • compter
    Obtenir les éléments de configuration pour les observables (type adresse IP) Récupère tous les éléments de configuration (CI) pour les observables de type adresse IP. Un observable d’adresse IP peut être associé à un élément de configuration. Par exemple, l’adresse IP d’un serveur. Si vous utilisez cette action, vous pouvez récupérer des informations pour le serveur.
    • Entrée : adresse IP de l’observable
    • Sortie :
      • Éléments de configuration
      • compter
    Est un observable malveillant Confirme la présence d’un ou de plusieurs observables malveillants dans un ensemble d’observables. Une fois que la recherche des menaces est terminée et que vous avez identifié la présence d’observables malveillants, vous pouvez augmenter la gravité ou le score de risque d’un incident de sécurité.
    • Entrée : incident de sécurité
    • Sortie : malveillant (vrai/faux)
    Envoyer un e-mail pour confirmer l’interaction de l’utilisateur Envoie un e-mail en réponse à une réponse de l’utilisateur. Si un utilisateur tente plusieurs fois de se connecter à une application et qu’il échoue, cela entraîne un scénario d’échec de connexion. Dans ce cas, un e-mail est envoyé à l’utilisateur pour confirmer s’il a tenté de se connecter ou non. En fonction de la réponse de l’utilisateur (Oui ou Non), différentes actions peuvent être entreprises.

    Flux : échec de la connexion manuelle Playbook
    Filtrer les éléments observables de la liste des éléments autorisés Utilisez cette action pour autoriser la liste des observables à partir d’un ensemble donné d’observables. Vous pouvez identifier certains observables qui peuvent être ignorés à partir d’un ensemble d’observables. Ces observables ne seront pas pris en compte lors de la résolution de l’incident de sécurité.
    • Entrée : incident de sécurité
    • Sortie :
      • Observables de la liste d’autorisation
      • compter
    Réinitialiser le mot de passe pour les utilisateurs concernés Utilisez cette action pour réinitialiser le mot de passe pour les utilisateurs concernés. Si un compte utilisateur a été piraté ou si un utilisateur demande la réinitialisation d’un mot de passe, un e-mail est envoyé à l’utilisateur pour réinitialiser le mot de passe.

    Flux : échec de la connexion manuelle au playbook.
    Obtenir le groupe d’utilisateurs pour l’utilisateur affecté Récupère les détails du groupe d’utilisateurs des utilisateurs affectés. Dans une organisation, si deux utilisateurs ou plus signalent des e-mails de hameçonnage, vous pouvez savoir à quel groupe ils appartiennent et identifier si d’autres utilisateurs ont été affectés
    • Entrée : user
    • Sortie :
      • Groupes d'utilisateurs
      • compter