Beheben Sie Sicherheitsbedrohungen mit dem Playbook

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Verwenden Sie das Playbook, um bestimmte Arten von Sicherheitsbedrohungen schrittweise zu beheben. Beispielsweise können Sie mit Playbooks Phishing-Angriffe und Bedrohungen lösen, die durch schädliche Codeaktivitäten verursacht werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Jede Gruppe von Aufgaben (Analyse, Eindämmung usw.) führt Sie durch eine Reihe von Fragen und anderen Aktivitäten zur Lösung der Bedrohung.
    Abbildung : 1. Playbook
    Playbook-Beispiel

    Geben Sie bei der Bearbeitung der einzelnen Aufgaben Arbeitsnotizen ein, um ähnliche Angriffe in Zukunft analysieren zu können. Nachdem eine Bedrohung identifiziert wurde, können Sie die Informationen im Playbook auch verwenden, um sie unter Quarantäne zu stellen, ähnlich betroffene Assets zu isolieren und Malware zu entfernen.

    Wissensartikel, die in jeder Aufgabe enthalten sind, enthalten Tipps und andere Informationen, um Sie bei der Ausführung der erforderlichen Schritte zu unterstützen.
    Abbildung : 2. Wissensartikel
    Wissensartikel zur Unterstützung der Phishing-Aufgabe

    Das -Basissystem enthält Wissensartikel für jede der Playbook-Aufgaben. Sie können jedoch eigene Wissensartikel schreiben und sie Playbook-Aufgaben zuordnen.

    Hinweis:
    Ein Beispiel für die Verwendung des Playbooks zum Analysieren und Beheben einer bestimmten Bedrohung finden Sie unter Von Benutzern gemeldete Phishing-Angriffe mit Playbook lösen.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents (neue UI).
      Der Bildschirm Security Incidents zeigt Security Incidents, die Ihnen zugewiesen wurden.
      Security Incidents
    2. Sie können auf die Auswahlliste Mir zugewiesen klicken, um einen anderen Filter auszuwählen, z. B. „Alle offenen Incidents“ oder „Alle nicht zugewiesenen Incidents“.
      Alternativ können Sie auf einen der Schnellfilter klicken, um Security Incidents eines bestimmten Typs anzuzeigen, z. B. nur kritische Incidents.
    3. Klicken Sie auf den Security Incident, den Sie analysieren möchten.

      Erwägen Sie die Priorisierung von Security Incidents mit hohen Risikopunktzahlen.

    4. Wenn der Playbook-Bereich am rechten Bildschirmrand geschlossen ist, klicken Sie auf das Playbook-Symbol ( Playbook), um ihn zu öffnen.
      Wenn dem Security Incident kein Playbook zugewiesen ist, können Sie wie unten gezeigt ein Playbook aus der Auswahlliste Ausgewähltes Playbook auswählen:

      Wählen Sie Playbook aus
      Sie können dem Security Incident auch ein anderes Playbook zuweisen. Um ein Playbook in die Auswahlliste Ausgewähltes Playbook aufzunehmen oder das Playbook für einen Security Incident zu ändern, finden Sie weitere Informationen unter Aktivieren Sie Playbooks für die Analystenauswahl.

      Das für den Typ der Sicherheitsbedrohung spezifische Playbook wird geöffnet. Sie ist in Kategorien mit ähnlichen Aufgaben unterteilt. Beispielsweise verwenden Sie die Aufgaben in der Analysegruppe, um die Gültigkeit und den Umfang der Bedrohung zu bestimmen. Die Gruppe „Eindämmen“ enthält Aufgaben zum Eingrenzen der Bedrohung für einen bestimmten Benutzer oder ein bestimmtes Asset. Die Aufgaben in der Gruppe „Beseitigen“ führen Sie durch den Prozess des Entfernens der Malware oder des erneuten Abbildens des Hosts.

    5. Klicken Sie auf die erste Gruppe (Analyse), und klicken Sie dann auf die erste Aufgabe im Playbook.
    6. Folgen Sie den Anweisungen in der Aufgabe.
      • Bei einigen Aufgaben wird eine Frage gestellt, z. B. „Ist E-Mail Teil der Kampagne?“. Führen Sie die erforderliche Analyse durch, um die Frage zu beantworten, und wählen Sie Ja oder Neinaus.
      • Wenn Sie Wissensartikel definiert und mit Playbook-Aufgaben verknüpfthaben, werden die Artikel angezeigt, wenn Sie mit der Arbeit an einer Aufgabe beginnen.
      • Einige Aufgaben sind vorübergehend. Sie weisen Sie lediglich an, eine Aktion auszuführen, z. B. das Hinzufügen erkennbarer Elemente zu einem Security Incident. Nachdem Sie die Aktion abgeschlossen haben, klicken Sie auf Als abgeschlossen markieren.
      Wenn Sie Aufgaben abschließen, werden Ihnen basierend auf den von Ihnen getroffenen Entscheidungen nachfolgende Aufgaben vorgelegt. Ausgegraute Gruppen (z. B. Wiederherstellen, Überprüfenusw.) können durch Ihre Auswahl aktiviert werden.
    7. Arbeiten Sie an jeder Aufgabe weiter, bis Sie alle Aufgaben abgeschlossen haben, um die Bedrohung zu beheben und den Security Incident zu schließen.

    Von Benutzern gemeldete Phishing-Angriffe mit Playbook lösen

    Das Phishing-Playbook führt Sie durch die Aufgaben, die zum Analysieren und Lösen eines Phishing-Angriffs erforderlich sind, der von einem Mitarbeiter Ihres Unternehmens gemeldet wurde.

    Wie Security Incidents aus von Benutzern gemeldeten Phishing-Angriffen erstellt werden

    Während des Setups von Security Incident Response erstellt Ihr Systemadministrator eine Reihe von E-Mail-Übereinstimmungsregeln, mit denen E-Mails identifiziert werden können, die Anzeichen eines Phishing-Angriffs enthalten. Wenn Mitarbeiter eine verdächtige E-Mail erhalten, die die allgemeinen Anzeichen eines Phishing-Angriffs enthält (wie in Ihren Sicherheitsrichtlinien definiert), können sie diese als EML-Anhang an die von Ihrer Organisation festgelegte Phishing-E-Mail-Adresse senden.

    Wenn die E-Mail an der Phishing-E-Mail-Adresse empfangen wird, wird der EML-Anhang analysiert und die darin enthaltenen Informationen mit den E-Mail-Übereinstimmungsregeln verglichen. Wenn eine Übereinstimmung gefunden wird, wird ein Security Incident erstellt, der die folgenden Informationen enthält:
    • Die Kurzbeschreibung enthält Phishing vom Anwender gemeldet, gefolgt vom eigentlichen Betreff der ursprünglichen E-Mail.
    • Die EML-Datei wird an den Security Incident angehängt.
    • Wenn die EML erkennbare Elemente enthält, werden diese analysiert, und es werden automatisch Ergänzungs- und Bedrohungssuchen durchgeführt.
    Abbildung : 3. Vom Anwender gemeldetes Phishing
    Anwender hat Phishing-Security-Incident gemeldet
    Wenn ein Security Incident der Kategorie „Phishing“ geöffnet wird, ist das Phishing-Playbook automatisch verfügbar. Klicken Sie einfach auf das Playbook-Symbol ( Playbook), um das Playbook zu öffnen.
    Abbildung : 4. Phishing-Playbook
    Bereich „Phishing-Playbook“.

    Das Phishing-Playbook enthält Aufgaben, mit denen Sie eine Phishing-Bedingung analysieren, eindämmen und beseitigen können. Die Aufgaben sind in Status organisiert (z. B. Analyse, Eindämmenusw.). Wenn alle Aufgaben für einen Status abgeschlossen wurden, leitet Sie das Playbook zum nächsten Status.

    Details von Security Incidents werden analysiert

    Wenn sich der Security Incident im Status „Analyse“ befindet, erhalten Sie Aufgaben zur Durchführung einer grundlegenden Untersuchung des Incidents, einschließlich:
    • Bestimmen der Gültigkeit des incident.
    • Untersuchen der Auswirkungen der potenziellen Bedrohung.
    • Koordinierung einer effektiven Reaktion auf den Incident
    Während Sie die Aufgaben durcharbeiten:
    • Machen Sie sich mit den Wissensartikeln vertraut.
    • Öffnen Sie den E-Mail-Anhang, und untersuchen Sie ihn auf typische Phishing-Elemente.
    • Überprüfen Sie die Ergebnisse der Bedrohungssuche.

    Enthält den Security Incident

    Wenn sich der Security Incident im Status „Eindämmen“ befindet, erhalten Sie Aufgaben, um die Details der E-Mail zu überprüfen. Um sicherzustellen, dass keine Bedrohungen in Ihre Organisation gelangen können, aktualisieren Sie Ihre Netzwerkabwehrmaßnahmen in Form von Signaturen und Regeln für das Intrusive Defence System (IDS) und das Intrusive Prevention System (IPS).

    Während Sie die Aufgaben durcharbeiten:
    • Ergreifen Sie Maßnahmen, um die Auswirkungen von Bedrohungen zu begrenzen, z. B. die Isolierung der betroffenen Geräte.
    • Untersuchen Sie die an die E-Mail angehängten erkennbaren Elemente.
    • Ermitteln Sie, ob E-Mail-Inhalte einer bekannten Bedrohung zugeordnet sind, einschließlich:
      • URL
      • E-Mail-Absender
      • Phishing-URL
      • IP-Adresse des SMTP-Servers des Absenders

    Die Malware wird gelöscht

    Nachdem Sie aktualisierte Signaturen und Regeln für Ihre Antivirenlösung bereitgestellt haben, verwenden Sie die Aufgaben im Status „ Beseitigen “, um festzustellen, ob Malware vorhanden ist, und entsprechend zu behandeln.

    Während Sie die Aufgaben durcharbeiten:
    • Scannen Sie die Endpunkte betroffener Geräte auf Malware.
    • Entfernen Sie alle gefundenen Malware.
    • Als letzten Ausweg können Sie die Hostgeräte löschen und ein neues Image erstellen.

    Überprüfung des Security Incidents

    Wenn Sie bei der Ausführung der Analyseaufgaben festgestellt haben, dass ein Phishing-Angriff ein falscher Alarm war, wechselt der Security Incident in den Status Überprüfen, und Sie müssen Ihre Benutzer benachrichtigen, damit sie wissen, dass der E-Mail-Anhang sicher geöffnet werden kann.

    Der Security Incident wird geschlossen

    Wenn alle Aufgaben im Playbook abgeschlossen wurden, wird der Security Incident in den Status Geschlossen versetzt. Sie müssen Abschlusskommentare eingeben, bevor der Incident geschlossen werden kann.

    Security Incident wird abgebrochen

    Wenn sich ein Security Incident im Status Überprüfen befindet und Sie Ihre Benutzer erfolgreich darüber informiert haben, dass die E-Mail keine Bedrohung darstellt, wird der Status Abgebrochen aktiviert, und Sie können den Security Incident abbrechen.

    Hinweis:
    Die Aufgabe „Wiederherstellen“ wird im Phishing-Playbook nicht verwendet.

    Ordnen Sie einen Wissensartikel einer Playbook-Aufgabe zu

    Während Sie Sicherheitsbedrohungen mit dem Playbook Security Incident Response analysieren, können Sie Wissensartikel für jede Aufgabe anzeigen, sofern von Ihrer Organisation definiert. Wenn keine Wissensartikel vorhanden sind, können Sie sie erstellen und Playbook-Aufgaben zuordnen.

    Vorbereitungen

    Beachten Sie bei der Verwendung des Playbooks in Security Incident Responseden Text, der jeder Aufgabe zugeordnet ist. Die erste Aufgabe in der Kategorie Phishing lautet beispielsweise Wurde Warnung von Mitarbeiter übermittelt? Dies ist die Kurzbeschreibung der Aufgabe, und Sie benötigen diesen Text (genau so, wie er im Playbook angezeigt wird), um der Aufgabe einen Wissensartikel zuzuordnen.

    Erforderliche Rolle: sn_sir.knowledge_admin und entweder sn_si.admin oder admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Katalog & Wissen > Wissen.
    2. Erstellen und veröffentlichen Sie einen Wissensartikel für eine bestimmte Playbook-Aufgabe.
    3. Navigieren zu Security Incident > Manuelles Runbook > Neues Runbook erstellen.
    4. Erstellen Sie ein Runbook, indem Sie die folgenden Informationen ausfüllen:
      Feld Beschreibung
      Wissensartikel Wählen Sie den veröffentlichten Wissensartikel aus, den Sie der Playbook-Aufgabe zuordnen möchten.
      Tabelle Wählen Sie Security Incident Response Aufgabe [sn_si_task] aus.
      Bedingung Legen Sie den Bedingungsgenerator auf Folgendes fest:
      • Option: Wählen Sie Kurzbeschreibungaus.
      • Operator:Auswählen ist.
      • Eingabewert: Geben Sie die Kurzbeschreibung für die Aufgabe genau so ein, wie sie im Playbook angezeigt wird.
    5. Klicken Sie auf Absenden.
      Wenn Sie das Playbook das nächste Mal ausführen und diese Aufgabe auswählen, wird der zugehörige Wissensartikel angezeigt.

    Fügen Sie dem Playbook eine anwenderdefinierte Aufgabe hinzu

    Das -Basissystem Security Analyst Workspace enthält eine Reihe von Aufgaben für jede Bedrohungskategorie. Sie können anwenderdefinierte Aufgaben erstellen, die den spezifischen Anforderungen Ihres Systems oder Ihrer Kunden entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.basic oder security_admin

    Prozedur

    1. Klicken Sie bei geöffnetem Playbook auf Aufgabe hinzufügen.
      Klicken Sie auf die Schaltfläche Aufgabe hinzufügen
      Der Bildschirm „Anwenderdefinierte Aufgabe hinzufügen“ wird geöffnet.
      Fügen Sie eine anwenderdefinierte Playbook-Aufgabe hinzu
    2. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Nummer [Schreibgeschützt] Die automatisch generierte Nummer der Security Incident-Aufgabe.
      Übergeordnet Die Nummer des zugehörigen Security Incidents.
      Konfigurationselement Das Configuration Item, das von dem Sicherheitsproblem betroffen ist, falls vorhanden.
      Betroffener Anwender Der Anwender, der von dem Sicherheitsproblem betroffen ist, falls vorhanden.
      Priorität Wählen Sie die Priorität aus, mit der bestimmt wird, wann diese Aufgabe ausgeführt werden soll.
      Status des Security Incidents Der aktuelle Status der Sicherheitsantwortaufgabe. Bei Bedarf können Sie einen zukünftigen Status auswählen.
      Ergebnistyp Wenn Sie über die Rolle sn_si.basic verfügen, wählen Sie Ja/Nein als Ergebnistyp aus.

      Mit der Rolle security_admin können Sie einen anwenderdefinierten Ergebnistyp mit mehreren anwenderdefinierten Ausgabewerten erstellen. Sie können beispielsweise eine Aufgabe mit abhängigen Werten basierend auf der Bedrohungskategorie definieren. Weitere Informationen finden Sie unter Auswahllisten
      Zuweisungsgruppe Die Zuweisungsgruppe, aus der der zugewiesene Mitarbeiter ausgewählt wird.
      Zugewiesen an Person, der die Ausführung der Aufgabe zugewiesen ist.
      Kurzbeschreibung Eine Beschreibung der Aufgabe „Playbook für Security Incidents“.
      Beschreibung Geben Sie eine Beschreibung für die ausgewählte Aufgabe ein.
    3. Wenn Sie Ihre Eingaben abgeschlossen haben, klicken Sie auf Aufgabe hinzufügen.
      Die Aufgabe wird nach der aktuellen Aufgabe in das Playbook eingefügt.