Exécuter le flux automatisé du playbook de programme malveillant

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Utilisez ce flux pour automatiser les tâches dans le playbook afin d’analyser et de résoudre les attaques de programmes malveillants contre votre organisation.

    Avant de commencer

    • Rôle requis : sn_si.admin, flow_designer et action_designer
    • Installez et configurez les intégrations suivantes avec les informations d’identification correctes :
      • Palo Alto Networks WildFire pour les opérations de sécurité
      • Recherche de perception (Splunk)
      • Demandes de blocs
      • Recherche de menace
      • Enrichir les observables

      Vérifiez que ces intégrations fonctionnent correctement avant d’activer le modèle de playbook Incident de sécurité - Automated Malware.

    • Application Security Operations Palo Alto Networks Wildfire : pour accéder au flux automatisé du playbook de logiciels malveillants, vous devez installer l’application Security Operations Spoke et Security Operations Palo Alto Networks - WildFire à partir du ServiceNow Store. Si l’application Security Operations Palo Alto Networks Wildfire n’est pas installée, vous verrez une erreur « workflow sur l’action numéro 15.4.1 introuvable » comme indiqué ci-dessous :

      Application Palo Alto Networks Wildfire Message d’erreur

      Si vous ne souhaitez pas installer cette application, supprimez les étapes 15.2, 15.3 et 15.4 du flux automatisé du playbook de programmes malveillants.

    • Assurez-vous que les conditions suivantes sont remplies :
      • L’incident de sécurité a été affecté à un analyste de sécurité qui appartient au groupe d’approbation approprié.
      • L’analyste de sécurité qui gère l’incident doit avoir une adresse e-mail valide.
      • Les éléments de configuration et observables nécessaires ont été ajoutés à l’incident de sécurité.
    • Pour l’étape 21 (Demander l’approbation), modifiez le groupe d’Affectation d’incident de sécurité à votre groupe préféré.
    • L’étape 21 du flux est une étape d’approbation de tâche obligatoire au cours de laquelle une demande d’approbation est envoyée à l’administrateur. Pour approuver la demande, l’administrateur doit accéder à la page Approbations de tâches et définir le champ État sur Approuvé. Si la tâche n’est pas approuvée, le concepteur de flux ne peut pas continuer et le processus se termine.

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une activité de code malveillant est détectée sur le réseau, un incident de sécurité est créé et le flux automatisé du playbook de programme malveillant est lancé. Vous pouvez utiliser les tâches définies dans le flux automatisé du playbook de programme malveillant pour trier, analyser, contenir et éradiquer la menace.

    Procédure

    1. Accédez à la Tout > Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations.
    2. Cliquez sur le lien Security Incident - Automated Malware Playbook Template VI (Incident de sécurité - Playbook de programme malveillant automatisé).
    3. Sur la page Flux, cliquez sur l’icône Plus icône Plus, faites une copie du flux et ouvrez-la pour votre utilisation.
      Vous pouvez maintenant apporter des modifications à votre flux, telles que la modification des conditions ou des actions de déclenchement, ou l’ajout et la suppression d’actions.Modèle de playbook de programme malveillant automatisé

      Cela montre le déclencheur et les étapes qui seront exécutées avec le flux. Le panneau de droite montre le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.

    4. Cliquez sur l’icône Déclencheur .
      Dans un premier temps, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions du déclencheur et de la tâche à exécuter lorsque les conditions sont remplies.Flux automatisé de playbook de programme malveillant : déclencheur

      Lorsque la condition définie dans le flux (la catégorie est Activité de code malveillant) est remplie dans l’enregistrement d’incident, les tâches du flux d’hameçonnage automatisé commencent à s’exécuter séquentiellement. Vous pouvez modifier le déclencheur, ajouter des annotations, ajouter ou supprimer des conditions, etc.

    5. La première étape du flux est Mettre à jour l’enregistrement d’incident de sécurité.
      Flux automatisé de playbook de programme malveillant : étape 1

      Cliquez sur le lien, puis cliquez sur l’icône d’annotation Icône d’annotation pour ajouter une note à l’analyste de sécurité indiquant qu’il y a eu une activité de code malveillant et que le flux automatisé du playbook de réponse aux programmes malveillants a commencé à s’exécuter.

    6. Poursuivez avec l’étape 2 dans le flux et cliquez sur le lien Créer une tâche .

      Dans cette étape, une tâche de réponse automatisée est créée pour vérifier si tous les observables nécessaires ont été capturés et si l’enquête peut commencer.

      Flux automatisé du playbook de programme malveillant : étape 2

    7. Si le type de résultat est Non, cela indique qu’aucun observable et CI n’est disponible pour lancer l’enquête.
      Mettez à jour l’enregistrement d’incident de sécurité pour indiquer que le playbook ne peut pas continuer.
    8. Si le type de résultat est Oui, le flux secondaire Définir la gravité de l’incident affecte automatiquement la gravité correcte à l’incident de sécurité.
    9. À l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour.
    10. À l’étape suivante, tous les observables impliqués dans l’incident ou dans une catégorie sélectionnée sont collectés pour effectuer des actions automatisées supplémentaires dans les étapes suivantes du playbook.
    11. À l’étape suivante, une tâche de réponse automatisée est créée.
      Cette tâche capture le début du processus d’obtention de la réputation de tous les observables et d’exécution de l’enrichissement avec des intégrations configurées.
    12. À l’étape 8, deux flux secondaires sont appelés :
      • Exécuter des recherches de menace pour les observables : ce flux secondaire est utilisé pour obtenir la réputation de tous les observables à l’aide d’implémentations de recherche de menace.
      • Enrichir les observables : ce flux secondaire permet d’enrichir les observables avec les implémentations configurées.

      Flux automatisé de playbook de programme malveillant : étape 8

      Remarquez les icônes de cette tâche. L’icône d’opérations parallèles L’icône d’opérations parallèles indique que les deux tâches seront exécutées en parallèle et l’icône de flux secondaire L’icône de flux secondaire indique que la tâche en cours d’exécution est un flux secondaire, comme indiqué ci-dessous :

      Flux automatisé de playbook de logiciels malveillants : étape 8.1.1

      Notez le chiffre 5 dans le champ des observables. Cela indique que la recherche de menace sera exécutée sur les observables récupérés à l’étape 5. Ce flux secondaire appelle à son tour les workflows et les actions existants.

    13. À l’étape suivante, l’action Exécuter la recherche d’enregistrements est exécutée.
      Cette action est utilisée pour rechercher des enregistrements de contexte de workflow dans lesquels le workflow parent peut être l’un des suivants.
      • Contexte de workflow abstrait de la recherche de menace
      • Contexte de workflow abstrait d'enrichissement d'observable
    14. À l’étape suivante, les résultats de réputation et d’enrichissement sont examinés tous les 8 enregistrements.
    15. Passez en revue les étapes suivantes :
      1. Mettre à jour l’enregistrement d’incident de sécurité : met à jour l’enregistrement d’incident de sécurité pour indiquer que les activités de recherche et d’enrichissement de réputation sont terminées.
      2. Obtenir les observables à partir de la tâche : récupère tous les observables malveillants associés à l’incident de sécurité.
      3. Créer une tâche : vérifie et confirme si les exécutions de triage automatisées ont réussi.
    16. Si des observables ont été marqués comme malveillants :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publiez une note de travail indiquant qu’une menace a été détectée.
      2. Créer une requête d’entrée à partir d’observables : si plus de dix observables ont été marqués comme malveillants, le flux secondaire Recherche de perception sur les observables (sur Splunk ou Carbon Black) est exécuté.
    17. Si les observables ne sont pas marqués comme malveillants, le flux continue avec les étapes suivantes :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publier une note de travail indiquant qu’aucune menace n’a été détectée
      2. Obtenir des observables à partir de la tâche : identifie tous les ID de hachage SHA256 de l’incident.
      3. Rechercher les enregistrements d’observables : recherche les enregistrements qui répondent à ces critères.
    18. Passez en revue les étapes suivantes :
      1. Pour chaque observable malveillant, le workflow Security Operations Palo Alto Networks - Get Wildfire Data Enrichment est exécuté.
      2. Examine les résultats de l’enquête pour voir s’ils sont satisfaisants.
        Une tâche de réponse est créée pour vérifier si le programme malveillant suspecté est une attaque de rançongiciel. Si c’est le cas, le flux secondaire Playbook de rançongiciel est exécuté.
      3. À l’étape suivante, un e-mail contenant un résumé de l’analyse et une demande d’approbation pour lancer les procédures de confinement est envoyé.
      4. Une tâche est créée pour capturer les détails de l’approbation demandée.
      5. L’étape suivante consiste à mettre à jour l’enregistrement d’incident de sécurité.
        Publiez une note de travail informant l’analyste de sécurité que la demande d’approbation a été effectuée.
      6. Demande l’approbation de votre responsable SOC pour contenir les attaques de programme malveillant.
        Étape 21
        Remarque :
        Lorsqu’une demande d’approbation est générée par le flux, la note de travail est mise à jour avec le message suivant :
        Une demande d’approbation a été effectuée pour <ID de tâche> en poursuivant le confinement. Pour approuver cette tâche, en tant que gestionnaire SOC, procédez manuellement comme suit :
        • Accédez à la page Approbations de tâches.
        • La liste des approbations s’affiche. Cliquez sur l'< ID de tâche > à approuver.
        • Changez l’état sur Approuver et enregistrez le <ID de tâche> mis à jour.
      7. À l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour pour suivre l’état d’approbation.
      8. Ensuite, une tâche est créée pour initier les procédures de confinement.
      9. Le flux secondaire Exécuter le flux secondaire Créer des demandes de bloc pour les observables malveillants est exécuté et un enregistrement d’incident est créé avec une demande de reconstruction de l’appareil infecté et de ses actifs.
      10. Ensuite, une tâche est créée pour exécuter la recherche de perceptions afin de confirmer si l’environnement est sécurisé.
        La recherche d’observations est répétée jusqu’à ce qu’aucune observation ne soit trouvée.
      11. Ensuite, une tâche est créée pour indiquer que l’enregistrement d’incident de sécurité est prêt à être examiné.
      12. Enfin, l’enregistrement est mis à jour et passé à l’étape Revue.

    Que faire ensuite

    Vous pouvez cliquer sur Test pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, cliquez sur Activer pour activer le flux afin qu’il puisse être exécuté.

    Cliquez sur Exécutions pour afficher les détails de l’exécution du flux.

    Flux automatisé de playbook de programme malveillant : exécution