Résoudre les menaces de sécurité avec le playbook

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 9 minutes de lecture

    • Utilisez le Playbook pour résoudre certains types de menaces à la sécurité étape par étape. Par exemple, vous pouvez résoudre les attaques de phishing et les menaces causées par l’activité de codes malveillants à l’aide de playbooks.

    Avant de commencer

    Rôle requis : sn_si.admin ou admin

    Pourquoi et quand exécuter cette tâche

    Chaque groupe de tâches (Analyse, Contenir, etc.) vous guide à travers une série de questions et d’autres activités pour résoudre la menace.
    Figure 1. Playbook
    Exemple de playbook

    Au fur et à mesure que vous travaillez sur chaque tâche, saisissez des notes de travail pour vous aider à analyser des attaques similaires à l’avenir. Une fois qu’une menace est identifiée, vous pouvez également utiliser les informations du playbook pour mettre la menace en quarantaine, isoler les actifs affectés de la même manière et supprimer les logiciels malveillants.

    Les articles de la base de connaissances, inclus dans chaque tâche, fournissent des conseils et d’autres informations pour vous aider à effectuer les étapes nécessaires.
    Figure 2. Articles de la base de connaissances
    Article de la base de connaissances à l’appui de la tâche d’hameçonnage

    Le système de base inclut des articles de la base de connaissances pour chacune des tâches du playbook. Vous pouvez toutefois écrire vos propres articles de la base de connaissances et les associer à des tâches de playbook.

    Remarque :
    Pour obtenir un exemple d’utilisation du playbook pour analyser et résoudre une menace spécifique, reportez-vous à la section Résoudre les attaques de phishing signalées par les utilisateurs avec le playbook.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Incidents (nouvelle interface utilisateur).
      L’écran Incidents de sécurité affiche les incidents de sécurité qui vous ont été affectés.
      Incidents de sécurité
    2. Vous pouvez cliquer sur la liste de choix Mes affectations pour sélectionner un autre filtre, tel que tous les incidents ouverts ou tous les incidents non affectés.
      Vous pouvez également cliquer sur l’un des filtres rapides pour afficher les incidents de sécurité d’un type particulier, comme uniquement les incidents critiques.
    3. Cliquez sur l’incident de sécurité que vous souhaitez analyser.

      Envisagez de donner la priorité aux incidents de sécurité avec des scores de risque élevés.

    4. Si le volet du playbook sur le bord droit de l’écran est fermé, cliquez sur l’icône du playbook ( Playbook) pour l’ouvrir.
      Si aucun playbook n’est affecté à l’incident de sécurité, vous pouvez sélectionner un playbook dans la liste de choix de Playbooks sélectionnés, comme indiqué ci-dessous :

      Sélectionner un playbook
      Vous pouvez également affecter un autre playbook à l’incident de sécurité. Pour inclure un playbook dans la liste de choix de Playbooks sélectionnés ou pour modifier le playbook en cas d’incident de sécurité, consultez la rubrique Activer les playbooks pour la sélection des analystes pour en savoir plus.

      Le playbook spécifique au type de menace de sécurité s’ouvre. Il est divisé en catégories de tâches similaires. Par exemple, vous utilisez les tâches du groupe Analyse pour déterminer la validité et l’étendue de la menace. Le groupe Contenir comprend des tâches visant à isoler la menace qui pèse sur un utilisateur ou un actif spécifique. Les tâches du groupe Éradiquer vous guident tout au long du processus de suppression du programme malveillant ou de réimagerie de l’hôte.

    5. Cliquez sur le premier groupe (Analyse), puis cliquez sur la première tâche dans le playbook.
    6. Suivez les invites de la tâche.
      • Certaines tâches posent une question, par exemple « L’e-mail fait-il partie de la campagne ? » Effectuez l’analyse nécessaire pour répondre à la question et sélectionnez Oui ou Non.
      • Si vous avez défini des articles de la base de connaissances et que vous les avez associés à des tâches de playbook, les articles s’affichent lorsque vous commencez à travailler sur une tâche.
      • Certaines tâches sont transitoires. Ils vous demandent simplement d’effectuer une action, comme l’ajout d’observables à un incident de sécurité. Une fois l’action terminée, cliquez sur Marquer comme terminé.
      Au fur et à mesure que vous accomplissez des tâches, les tâches suivantes vous sont présentées en fonction des choix que vous faites. Les groupes grisés (tels que Récupérer, Revoir, etc.) peuvent être activés par vos choix.
    7. Continuez à travailler sur chaque tâche qui vous est présentée jusqu’à ce que vous ayez terminé toutes les tâches visant à résoudre la menace et à fermer l’incident de sécurité.

    Résoudre les attaques de phishing signalées par les utilisateurs avec le playbook

    Le playbook d’hameçonnage vous guide à travers les tâches nécessaires à l’analyse et à la résolution d’une attaque d’hameçonnage signalée par l’un des employés de votre entreprise.

    Comment les incidents de sécurité sont créés à partir d’attaques de phishing signalées par un utilisateur

    Pendant la configuration de Réponse aux incidents de sécurité, votre administrateur système crée une série de règles de correspondance d’e-mails qui peuvent identifier les e-mails contenant des signes d’attaque d’hameçonnage. Lorsque les employés reçoivent un e-mail suspect contenant les signes courants d’une attaque de phishing (tels que définis par vos politiques de sécurité), ils peuvent l’envoyer sous forme de . Pièce jointe EML à l’adresse e-mail d’hameçonnage définie par votre organisation.

    Lorsque l’e-mail est reçu à l’adresse e-mail d’hameçonnage, le fichier . La pièce jointe EML est analysée et ses informations sont comparées aux règles de correspondance d’e-mail. Si une correspondance est trouvée, un incident de sécurité contenant les informations suivantes est créé :
    • La brève description inclut le hameçonnage signalé par un utilisateur, suivi de l’objet réel de l’e-mail d’origine.
    • Le. Le fichier EML est joint à l’incident de sécurité.
    • Si le . EML contient tous les observables, ils sont analysés et les recherches d’enrichissement et de menace sont automatiquement effectuées.
    Figure 3. Hameçonnage signalé par un utilisateur
    Incident de sécurité de hameçonnage signalé par un utilisateur
    Lorsqu’un incident de sécurité de catégorie hameçonnage est ouvert, le Playbook d’hameçonnage est automatiquement disponible. Cliquez simplement sur l’icône du playbook ( Playbook) pour ouvrir le playbook.
    Figure 4. Playbook d’hameçonnage
    Volet du playbook d’hameçonnage

    Le playbook d’hameçonnage contient des tâches pour vous aider à analyser, contenir et éradiquer une menace d’hameçonnage. Les tâches sont organisées en états (par exemple, Analyse, Contenir, etc.). Lorsque toutes les tâches pour un état ont été terminées, le playbook vous guide vers l’état suivant.

    Analyse des détails de l’incident de sécurité

    Lorsque l’incident de sécurité est à l’état Analyse, vous disposez de tâches pour effectuer une enquête de base sur l’incident, notamment :
    • détermination de la validité de l’incident.
    • Étudier l’impact de la menace potentielle.
    • Coordonner une réponse efficace à l’incident.
    Au fur et à mesure que vous accomplissez les tâches :
    • Familiarisez-vous avec les articles de la base de connaissances.
    • Ouvrez la pièce jointe de l’e-mail et examinez-la pour détecter des signes d’éléments de phishing courants.
    • Examinez les résultats de la recherche de menaces.

    Contenir l’incident de sécurité

    Lorsque l’incident de sécurité est à l’état Maîtriser , vous avez pour tâche d’examiner les détails de l’e-mail. Pour vous assurer que les menaces ne peuvent pas pénétrer dans votre organisation, mettez à jour les défenses de votre réseau, sous la forme de signatures et de règles du système de défense contre les intrusions (IDS) et du système de prévention des intrusions (IPS).

    Au fur et à mesure que vous accomplissez les tâches :
    • Prenez des mesures pour limiter les impacts des menaces, telles que l’isolation des appareils impactés.
    • Examinez les observables joints à l’e-mail.
    • Déterminez si le contenu d’un e-mail est associé à une menace connue, notamment :
      • URL
      • Expéditeur d’e-mail
      • URL de hameçonnage
      • Adresse IP du serveur SMTP de l’expéditeur

    Éradiquer le programme malveillant

    Après avoir déployé des signatures et des règles mises à jour dans votre solution antivirus, utilisez les tâches à l’état Éradiquer pour déterminer la présence d’un programme malveillant et le gérer en conséquence.

    Pendant que vous travaillez sur les tâches :
    • Analysez les points de terminaison des appareils affectés pour détecter la présence de logiciels malveillants.
    • Supprimez tout programme malveillant trouvé.
    • En dernier recours, effacez et recréez l’image des appareils hôtes.

    Examen de l’incident de sécurité

    Si vous avez déterminé qu’une attaque d’hameçonnage était une fausse alerte lors de l’exécution des tâches d’analyse, l’incident de sécurité passe à l’état Examen et vous devez en informer vos utilisateurs afin qu’ils sachent qu’il est possible d’ouvrir la pièce jointe en toute sécurité.

    Fermeture de l’incident de sécurité

    Lorsque toutes les tâches du playbook ont été terminées, l’incident de sécurité passe à l’état Fermé . Vous devez saisir des commentaires de fermeture pour pouvoir fermer l’incident.

    Annulation d’un incident de sécurité

    Lorsqu’un incident de sécurité est à l’état d’examen et que vous avez informé vos utilisateurs que l’e-mail ne constitue pas une menace, l’état Annulé devient actif et vous pouvez annuler l’incident de sécurité.

    Remarque :
    La tâche de récupération n’est pas utilisée dans le playbook d’hameçonnage.

    Associer un article de la base de connaissances à une tâche de playbook

    Lorsque vous analysez les menaces de sécurité à l’aide du playbook, vous pouvez consulter les articles de Réponse aux incidents de sécurité la base de connaissances pour chaque tâche si votre organisation les définit. Si les articles de la base de connaissances ne sont pas présents, vous pouvez les créer et les associer à des tâches du playbook.

    Avant de commencer

    Lorsque vous utilisez le playbook dans Réponse aux incidents de sécurité, notez le texte associé à chaque tâche. Par exemple, la première tâche de la catégorie Hameçonnage est Alerte a-t-elle été envoyée par l’employé ? Il s’agit de la brève description de la tâche et vous avez besoin de ce texte (exactement comme il apparaît dans le playbook) pour associer un article de la base de connaissances à la tâche.

    Rôle requis : sn_sir.knowledge_admin et sn_si.admin ou admin

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Catalogue et base de connaissances > Connaissances.
    2. Créez et publiez un article de la base de connaissances pour une tâche Playbook spécifique.
    3. Accédez à la Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    4. Créez un runbook en renseignant les informations suivantes :
      Champ Description
      Article de la base de connaissances Sélectionnez l’article de la base de connaissances publié que vous souhaitez associer à la tâche Playbook.
      Table Sélectionnez Réponse aux incidents de sécurité la tâche [sn_si_task].
      Condition Définissez le générateur de conditions sur :
      • Option: Sélectionnez Brève description.
      • Opérateur:Sélectionnez est.
      • Valeur d’entrée : Saisissez la description brève de la tâche, telle qu’elle apparaît dans le playbook.
    5. Cliquez sur Envoyer.
      La prochaine fois que vous exécuterez le playbook et que vous sélectionnerez cette tâche, l’article de la base de connaissances associé s’affichera.

    Ajouter une tâche personnalisée au playbook

    Le Security Analyst Workspace système de base comprend une série de tâches pour chaque catégorie de menace. Vous pouvez créer des tâches personnalisées qui répondent aux besoins uniques de votre système ou de vos clients.

    Avant de commencer

    Rôle requis : sn_si.basic ou security_admin

    Procédure

    1. Une fois le playbook ouvert, cliquez sur Ajouter une tâche.
      Cliquez sur le bouton Ajouter une tâche
      L’écran Ajouter une tâche personnalisée s’ouvre.
      Ajouter une tâche Playbook personnalisée
    2. Renseignez les champs nécessaires.
      Champ Description
      Numéro [Lecture seule] Numéro de tâche d’incident de sécurité généré automatiquement.
      Société parente Numéro de l’incident de sécurité connexe.
      Élément de configuration Élément de configuration affecté par le problème de sécurité, le cas échéant.
      Utilisateur affecté Utilisateur affecté par le problème de sécurité, le cas échéant.
      Priorité Sélectionnez la priorité utilisée pour déterminer quand cette tâche doit être effectuée.
      État de l'incident de sécurité État actuel de la tâche de réponse de sécurité. Vous pouvez sélectionner un état futur, si nécessaire.
      Type de résultat Si vous disposez du rôle sn_si.basic, sélectionnez Oui/Non comme type de résultat.

      Si vous disposez du rôle security_admin, vous pouvez créer un type de résultat personnalisé avec plusieurs valeurs de sortie personnalisées. Par exemple, vous pouvez définir une tâche avec des valeurs dépendantes en fonction de la catégorie de menace. Pour plus d’informations, voir Listes de choix
      Groupe d'affectation Groupe d’affectation à partir duquel l’agent affecté sera sélectionné.
      Affecté à Personne affectée à l’exécution de la tâche.
      Description brève Une description de la tâche du playbook d’incident de sécurité.
      Description Saisissez une description pour la tâche sélectionnée.
    3. Lorsque vous avez terminé vos entrées, cliquez sur Ajouter une tâche.
      La tâche est insérée dans le playbook après la tâche actuelle.