Playbook d’incident de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Invoquer le flux du playbook d’incident de sécurité automatiquement ou manuellement.

    Un Playbook n’est visible que si au moins un Playbook est associé à un incident de sécurité. Le composant Playbook fonctionne uniquement pour les processus créés par Concepteur d’automatisation de processus (PAD) et non pour les flux créés par Flow Designer. Pour les flux existants activés par Flow Designer, cela continuera de fonctionner et les activités continueront d’être restituées en tant que tâches de réponse.

    Il existe deux façons d’associer le playbook à l’incident de sécurité :
    • Invoquer automatiquement le playbook
    • Ajouter manuellement un playbook

    Appeler automatiquement le playbook

    Pour qu’un Playbook soit invoqué automatiquement, un processus doit être défini à l’aide de Process Automation Designer (PAD), et lorsque la condition de déclenchement est remplie, l’onglet Playbook s’affiche automatiquement avec les activités Playbook affichées.

    Ajouter un playbook manuellement

    Pour qu’un Playbook soit invoqué manuellement, accédez à la liste déroulante Action d’interface utilisateur du formulaire et sélectionnez Ajouter un Playbook. Pour plus d’informations, reportez-vous à la section Ajouter un Playbook
    Remarque :
    S’il existe déjà un playbook disponible, les nouveaux playbooks ajoutés s’exécuteront en parallèle des playbooks existants.
    • Dans le playbook, l’analyste peut filtrer les cartes du playbook par état.
    • L’analyste peut annuler un playbook en le sélectionnant à partir de l’icône d’ellipse.
    • Dans chaque activité, l’analyste pourra effectuer les actions définies dans les cartes d’activité, telles que Ignorer, Marquer comme terminé, Annuler, ou des actions d’orchestration telles que Soumettre au bac à sable, Rechercher des e-mails, etc.
    • Chacune de ces actions est définie dans la définition d’activité, et la carte complète visible est personnalisable au moment de la création de la définition d’activité elle-même.
    Remarque :
    Toutes les définitions d’activités futures et les prochaines étapes à effectuer sont affichées avec une icône de verrouillage et sont en mode lecture seule pour l’utilisateur. Le mode d’affichage du playbook est contrôlé par une configuration comme expliqué ci-dessous.
    1. Accédez à la Tout > Expériences Playbook.
    2. Sur la page Expériences de playbook, sélectionnez une expérience de playbook SIR.
      Figure 1. Expérience de playbook
      L’expérience Playbook d’incident de sécurité
      La page Expérience de playbook SIR Expérience de playbook s’affiche.
      Figure 2. Enregistrement de l’expérience de playbook
      Modification de l’enregistrement de l’expérience de playbook SIR
    3. Cliquez sur l’enregistrement de configuration .
      Enregistrement de configuration Playbook
    4. Dans l’onglet Configuration, cliquez sur Configuration de l’expérience de playbook SIR.
      Figure 3. Configuration Playbook
      Modifier la configuration Playbook
    5. Accédez à la liste déroulante du champ Visibilité de l’élément en attente , sélectionnez l’option souhaitée et enregistrez l’enregistrement. Choisissez parmi les options suivantes :
      • Masquer les activités en attente : sélectionnez cette option pour masquer les activités en attente que vous souhaitez afficher dans la section playbook de l’espace de travail.
        Figure 4. Exemple d’hameçonnage signalé par un utilisateur
        Masquer les activités en attente dans le playbook Manuel d’hameçonnage.
      • Afficher les étapes et les activités en attente : sélectionnez cette option pour afficher les étapes et les activités en attente que vous souhaitez afficher dans la section playbook de l’espace de travail.
        Figure 5. Afficher les activités et étapes en attente
        Afficher les activités et étapes en attente dans le manuel d’hameçonnage
      • Masquer les activités et étapes en attente : sélectionnez cette option pour masquer les activités et les étapes en attente que vous souhaitez afficher dans la section Playbook de l’espace de travail.
        Figure 6. Masque les activités et étapes en attente
        Masquer les activités et étapes en attente dans le manuel d’hameçonnage
    6. Dans la section Playbook, utilisez l’option de filtre pour filtrer les activités par état de carte Playbook (définition d’activité).
      Figure 7. État de la carte Playbook
      État de la carte Playbook

    Ajouter un Playbook

    Utilisez cette section pour ajouter un playbook manuellement.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Security Analyst Workspace.
    2. Ouvrez un enregistrement d'incident.
    3. Cliquez sur Ajouter un playbook.
      Ajouter un playbook manuellement
      La boîte de dialogue Ajouter un playbook s’affiche.
      Ajouter un playbook
    4. Sélectionnez le modèle de playbook.
    5. Cliquez sur Ajouter un playbook.
      Une boîte de dialogue de message de confirmation s’affiche pour vous permettre de confirmer.
    6. Cliquez quand même sur Ajouter.
      Message de confirmation
    7. Le Playbook est ajouté à côté de l’onglet Détails .
      Message de confirmation Playbook
    8. Cliquez sur l’onglet Playbook .
      Activités Playbook
    9. Effectuez la série d’activités répertoriées pour passer au niveau suivant.
      Remarque :
      Si un incident de sécurité est associé à un playbook, l’utilisateur ne peut pas associer le même playbook au même incident de sécurité tant que celui-ci n’est pas fermé ou annulé.