Exécuter le flux du playbook de réponse d’hameçonnage automatisé
À l’aide du concepteur de flux, vous pouvez définir et automatiser les tâches dans le playbook pour analyser et résoudre les attaques de phishing contre votre organisation.
Avant de commencer
- Rôle requis : sn_si.admin, flow_designer et action_designer
- Installez et configurez les intégrations suivantes avec les bonnes informations d’identification :
- Demande de bloc (Opérations de sécurité intégration NGFW Palo Alto Networks)
- Enrichissement des éléments observables
- Recherche de perception
- Recherche de menace
- Microsoft Office Exchange
Pourquoi et quand exécuter cette tâche
Les étapes suivantes décrivent comment faire une copie du modèle de playbook d’hameçonnage et vous guident à travers certaines des tâches du flux.
Procédure
-
Sur la page Flux, cliquez sur
, faites une copie du flux et ouvrez-le pour votre utilisation.
Vous pouvez modifier les conditions de déclenchement, ajouter ou supprimer des actions et apporter d’autres changements au flux.Cette image montre les conditions de déclenchement et les étapes exécutées par le flux. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.
-
Cliquez sur l’icône Déclencher .
Dans la première étape, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions du déclencheur et la fréquence à laquelle vous souhaitez que le flux exécute le déclencheur.
Lorsque les conditions définies dans le flux (catégorie est Hameçonnage et Source est E-mail) sont remplies dans l’enregistrement d’incident, les tâches du flux d’hameçonnage automatisé commencent à s’exécuter séquentiellement. Vous pouvez modifier le déclencheur, ajouter des annotations, ajouter ou supprimer des conditions, etc.
-
Cliquez sur le lien Mettre à jour l’enregistrement d’incident de sécurité .
La mise à jour de l’enregistrement d’incident de sécurité constitue la première étape du flux. Cliquez sur l’icône
pour ajouter une note à l’analyste de sécurité indiquant qu’un incident d’hameçonnage s’est produit et que le flux du playbook d’hameçonnage automatisé a commencé à s’exécuter. -
Poursuivez avec l’étape 2 du flux, puis cliquez sur le lien Créer une tâche de réponse .
Dans cette étape, le flux crée une tâche de réponse automatisée pour en accuser réception à l’émetteur de l’incident ou à l’utilisateur affecté.
Notez que le champ Tâche parente [Incident de sécurité] fait référence à l’enregistrement parent associé à cette étape. Vous pouvez choisir n’importe quel enregistrement de référence à l’aide de l’icône de sélection de pastilles de données, de
ou faire glisser l’élément de référence pertinent depuis le panneau de droite. Remarquez l’icône de verrouillage 
. L’icône de verrou indique que cette étape ne nécessite aucune intervention de l’utilisateur. -
À l’étape 3, le flux collecte des détails supplémentaires sur l’utilisateur affecté (généralement l’utilisateur qui a soumis l’incident) pour s’assurer qu’il peut envoyer une notification avec succès.
Vous pouvez spécifier des conditions pour vérifier si l’état de l’utilisateur affecté est actif et si l’utilisateur est en mesure de recevoir des notifications.
Remarquez l’icône
à l’étape 3. Le flux exécute l’étape suivante (3.1) uniquement si les conditions spécifiées sont remplies.Lorsque les conditions définies à l’étape 3 ont été remplies avec succès, l’e-mail est envoyé.
-
À l’étape 4, une fois l’e-mail envoyé, la tâche de réponse est marquée comme fermée.
-
À l’étape 5, tous les observables impliqués dans l’incident (tels que l’objet de l’e-mail, l’adresse e-mail à partir de laquelle l’e-mail d’hameçonnage a été envoyé, l’URL d’hameçonnage) ou les observables appartenant à une catégorie sélectionnée (hachage, fichier ou domaine) sont collectés pour effectuer des actions automatisées supplémentaires dans les étapes suivantes du playbook.
Cliquez sur l’icône du concepteur
pour afficher une vue détaillée de l’action.Pour afficher la page Concepteur d’action , développez une étape dans le flux et cliquez sur l’icône Concepteur d’action.
-
À l’étape 6, une tâche de réponse automatisée est créée.
Cette tâche capture le début du processus d’obtention de la réputation de tous les observables et d’enrichissement avec des intégrations configurées.
-
À l’étape 7, deux flux secondaires sont appelés :
- Exécuter des recherches de menace pour les observables : ce flux secondaire est utilisé pour obtenir la réputation de tous les observables à l’aide d’implémentations de la recherche de menace.
- Enrichir les observables : ce flux secondaire permet d’enrichir les observables avec des implémentations configurées.
Notez les icônes de cette tâche. L’icône Opérations parallèles
indique que les deux tâches seront exécutées en parallèle et l’icône de flux secondaire 
indique que la tâche effectuée est un flux secondaire, comme indiqué ci-dessous :Notez le nombre 5 dans le champ Observables. Cela indique que la recherche de menace sera exécutée sur les observables récupérés à l’étape 5. Ce flux secondaire appelle à son tour des workflows et des actions existants, comme indiqué dans le concepteur de flux secondaires.
-
À l’étape 8, une fois les flux secondaires terminés, la tâche de réponse est marquée comme fermée.
-
À l’étape 9, le flux secondaire Confirmer la menace à partir du triage de l’observable est appelé.
Ce flux secondaire est utilisé pour confirmer la présence d’un indicateur de menace dans l’incident. Si la menace est confirmée, un marqueur « IOC détecté » est ajouté à l’incident.
-
Lorsque la menace est confirmée, à l’étape 10, vous mettez à jour l’incident de sécurité et ajoutez une note indiquant que des tâches de maîtrise de la menace seront lancées.
-
L’étape 11 est une tâche de réponse automatisée qui capture le début et la fin de la tâche utilisée pour évaluer l’impact des e-mails d’hameçonnage.
-
À l’étape 12, le flux secondaire Évaluer l’impact des e-mails d’hameçonnage est appelé.
Ce flux secondaire est utilisé pour rechercher les utilisateurs qui ont reçu l’e-mail d’hameçonnage à l’aide d’implémentations prises en charge.
-
À l’étape 13, la tâche est marquée comme fermée pour indiquer que le flux secondaire Évaluer l’impact de l’e-mail d’hameçonnage a été exécuté.
-
L’étape 14 permet de récupérer tous les observables qui ont été marqués comme malveillants.
-
L’étape 15 est une tâche de réponse automatisée qui capture le début et la fin de la tâche Recherche d’observation des observables.
-
À l’étape 16, le flux secondaire Exécuter une recherche de perception sur les observables est appelé.
Ce flux secondaire effectue une recherche de perceptions à l’aide de l’implémentation configurée.
-
À l’étape 17, la tâche est marquée comme fermée pour indiquer que le flux secondaire Exécuter une recherche de perception sur les observables est terminé.
-
Une fois que vous avez identifié les observables malveillants, à l’étape 18, vous mettez à jour l’enregistrement d’incident de sécurité pour indiquer que les actions de confinement vont maintenant commencer.
-
L’étape 19 est une tâche de réponse automatisée qui capture le début et l’achèvement de la tâche de demandes de bloc.
-
À l’étape 20, le flux secondaire Créer des demandes de bloc est appelé.
Ce flux secondaire permet de bloquer les observables malveillants.
-
À l’étape 21, la tâche est marquée comme fermée pour indiquer que le flux secondaire Créer des demandes de bloc est terminé.
-
À l’étape 22, le flux secondaire Éradiquer les e-mails d’hameçonnage est appelé.
Ce flux secondaire est utilisé pour supprimer les e-mails d’hameçonnage des boîtes aux lettres des utilisateurs.
-
Une fois les e-mails d’hameçonnage supprimés, à l’étape 23, vous mettez à jour l’enregistrement d’incident de sécurité pour indiquer que l’état de l’incident doit être examiné.
-
Dans la dernière étape, le flux crée une tâche de réponse automatisée.
Cette tâche est utilisée pour envoyer un rappel à l’analyste de sécurité afin qu’il enregistre toutes les actions de réponse aux incidents pour des examens futurs.
Que faire ensuite
Cliquez sur Exécutions pour afficher les détails d’exécution du flux.