Exécuter le flux automatisé du playbook de programme malveillant

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Utilisez ce flux pour automatiser les tâches dans le playbook afin d’analyser et de résoudre les attaques de programmes malveillants contre votre organisation.

    Avant de commencer

    • Rôle requis : sn_si.admin, flow_designer et action_designer
    • Installez et configurez les intégrations suivantes avec les informations d’identification correctes :
      • Palo Alto Networks WildFire pour les opérations de sécurité
      • Recherche de perception (Splunk)
      • Demandes de blocs
      • Recherche de menace
      • Enrichir les observables

      Vérifiez que ces intégrations fonctionnent correctement avant d’activer le modèle Incident de sécurité - Playbook de programme malveillant automatisé.

    • Application Security Operations Palo Alto Networks Wildfire : pour accéder au flux automatisé de playbooks de logiciels malveillants, vous devez installer les applications Security Operations Spoke et Security Operations Palo Alto Networks - WildFire à partir du ServiceNow Store. Si l’application Security Operations Palo Alto Networks Wildfire n’est pas installée, vous verrez une erreur « workflow sur l’action numéro 15.4.1 introuvable » comme indiqué ci-dessous :

      Message d’erreur de l’application Palo Alto Networks Wildfire

      Si vous ne souhaitez pas installer cette application, supprimez les étapes 15.2, 15.3 et 15.4 du flux automatisé du playbook de logiciels malveillants.

    • Assurez-vous que les conditions suivantes sont remplies :
      • L’incident de sécurité a été affecté à un analyste de sécurité qui appartient au groupe d’approbation approprié.
      • L’analyste de sécurité qui gère l’incident doit disposer d’une adresse e-mail valide.
      • Les éléments de configuration et observables nécessaires ont été ajoutés à l’incident de sécurité.
    • Pour l’Étape 21 (Demander l’approbation), remplacez le groupe Affectation d’incident de sécurité par votre groupe préféré.
    • L’étape 21 du flux est une étape d’approbation de tâche obligatoire au cours de laquelle une demande d’approbation est envoyée à l’administrateur. Pour approuver la demande, l’administrateur doit accéder à la page Approbations de tâches et définir le champ État sur Approuvé. Si la tâche n’est pas approuvée, le concepteur de flux ne peut pas continuer et le processus prend fin.

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une activité de code malveillant est détectée sur le réseau, un incident de sécurité est créé et le flux automatisé du playbook de programme malveillant est lancé. Vous pouvez utiliser les tâches définies dans le flux automatisé du playbook de programme malveillant pour trier, analyser, contenir et éradiquer la menace.

    Procédure

    1. Accédez à la Tous > Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations.
    2. Cliquez sur le lien Incident de sécurité - Playbook de programme malveillant automatisé modèle VI .
    3. Sur la page Flux, cliquez sur l’icône Plus icône Plus, faites une copie du flux et ouvrez-la pour votre utilisation.
      Vous pouvez maintenant apporter des changements à votre flux, tels que la modification des conditions ou des actions de déclenchement, ou l’ajout et la suppression d’actions.Modèle de playbook de programme malveillant automatisé

      Cela montre le déclencheur et les étapes qui seront exécutées avec le flux. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.

    4. Cliquez sur l’icône Déclencher .
      Dans un premier temps, vous définissez ou paramétrez le déclencheur du flux. Spécifiez les conditions du déclencheur et de la tâche à exécuter lorsque les conditions sont remplies.Flux de playbook de programme malveillant automatisé : déclencheur

      Lorsque la condition définie dans le flux (la catégorie est Activité de code malveillant) est remplie dans l’enregistrement d’incident, les tâches du flux d’hameçonnage automatisé commencent à s’exécuter séquentiellement. Vous pouvez modifier le déclencheur, ajouter des annotations, ajouter ou supprimer des conditions, etc.

    5. La première étape du flux est Mettre à jour l’enregistrement d’incident de sécurité.
      Flux automatisé du playbook de logiciels malveillants : étape 1

      Cliquez sur le lien, puis cliquez sur l’icône d’annotation Icône d’annotation pour ajouter une note à l’analyste de sécurité indiquant qu’il y a eu une activité de code malveillant et que le flux automatisé du playbook de réponse de programme malveillant a commencé à s’exécuter.

    6. Poursuivez avec l’étape 2 dans le flux et cliquez sur le lien Créer une tâche .

      Dans cette étape, une tâche de réponse automatisée est créée pour vérifier si tous les observables nécessaires ont été capturés et si l’enquête peut commencer.

      Flux automatisé du playbook de logiciels malveillants : étape 2

    7. Si le type de résultat est Non, cela indique qu’aucun observable ni CI n’est disponible pour lancer l’examen.
      Mettez à jour l’enregistrement d’incident de sécurité pour indiquer que le playbook ne peut pas continuer.
    8. Si le type de résultat est défini sur Oui, le flux secondaire Définir la gravité de l’incident affecte automatiquement la gravité correcte à l’incident de sécurité.
    9. À l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour.
    10. À l’étape suivante, tous les observables impliqués dans l’incident ou dans une catégorie sélectionnée sont collectés pour effectuer des actions automatisées supplémentaires dans les étapes suivantes du playbook.
    11. À l’étape suivante, une tâche de réponse automatisée est créée.
      Cette tâche capture le début du processus d’obtention de la réputation de tous les observables et d’exécution de l’enrichissement avec des intégrations configurées.
    12. À l’étape 8, deux flux secondaires sont appelés :
      • Exécuter des recherches de menace pour les observables : ce flux secondaire permet d’obtenir la réputation de tous les observables à l’aide des implémentations de recherche de menace.
      • Enrichir les observables : ce flux secondaire permet d’enrichir les observables avec les implémentations configurées.

      Flux automatisé de playbook de logiciels malveillants : étape 8

      Remarquez les icônes pour cette tâche. L’icône Opérations parallèles Icône Opérations parallèles indique que les deux tâches seront exécutées en parallèle et l’icône de flux secondaire L’icône de flux secondaire indique que la tâche en cours d’exécution est un flux secondaire, comme illustré ci-dessous :

      Flux automatisé de playbook de logiciels malveillants : étape 8.1.1

      Notez le chiffre 5 dans le champ Observables. Cela indique que la recherche de menace sera exécutée sur les observables récupérés à l’étape 5. Ce flux secondaire appelle à son tour des workflows et des actions existants.

    13. À l’étape suivante, l’action Exécuter Rechercher des enregistrements est exécutée.
      Cette action est utilisée pour rechercher des enregistrements de contexte de workflow où les workflows parents peuvent être l’un des suivants.
      • Contexte de workflow abstrait de la recherche de menaces
      • Contexte de workflow abstrait d'enrichissement d'observable
    14. À l’étape suivante, les résultats de réputation et d’enrichissement sont examinés tous les 8 enregistrements.
    15. Passez ensuite en revue les étapes suivantes :
      1. Mettre à jour l’enregistrement d’incident de sécurité : met à jour l’enregistrement d’incident de sécurité pour indiquer que les activités de recherche et d’enrichissement de réputation sont terminées.
      2. Obtenir les observables à partir de la tâche : récupère tous les observables malveillants associés à l’incident de sécurité.
      3. Créer une tâche : vérifie et confirme si les exécutions de triage automatisées ont réussi.
    16. Si des observables ont été marqués comme malveillants :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publiez une note de travail indiquant qu’une menace a été détectée.
      2. Créer une requête d’entrée à partir d’observables : si plus de dix observables ont été marqués comme malveillants, le flux secondaire de recherche de perception sur les observables (sur Splunk ou Carbon Black) est exécuté.
    17. Si les observables ne sont pas marqués comme malveillants, le flux continue avec les étapes suivantes :
      1. Mettre à jour l’enregistrement d’incident de sécurité : publier une note de travail indiquant qu’aucune menace n’a été détectée
      2. Obtenir des observables à partir de la tâche : identifie tous les ID de hachage SHA256 de l’incident.
      3. Rechercher les enregistrements d’observables : recherche les enregistrements qui répondent à ces critères.
    18. Passez ensuite en revue les étapes suivantes :
      1. Pour chaque observable malveillant, le workflow Security Operations Palo Alto Networks - Obtenir l’enrichissement des données relatives aux incendies de forêt est exécuté.
      2. Examine les résultats de l’enquête pour voir s’ils sont satisfaisants.
        Une tâche de réponse est créée pour vérifier si le programme malveillant suspecté est une attaque de rançongiciel. Si tel est le cas, le flux secondaire Playbook de rançongiciel est exécuté.
      3. À l’étape suivante, un e-mail contenant un résumé de l’analyse et une demande d’approbation est envoyé pour lancer les procédures de confinement.
      4. Une tâche est créée pour capturer les détails de l’approbation demandée.
      5. L’étape suivante consiste à mettre à jour l’enregistrement d’incident de sécurité.
        Publiez une note de travail informant l’analyste de sécurité que la demande d’approbation a été effectuée.
      6. Demande l’approbation de votre responsable SOC pour contenir les attaques de programme malveillant.
        Étape 21
        Remarque :
        Lorsqu’une demande d’approbation est générée par le flux, la note de travail est mise à jour avec le message suivant :
        Une demande d’approbation a été effectuée pour <ID de tâche> en poursuivant l’imbrication. Pour approuver cette tâche, en tant que responsable SOC, suivez manuellement les étapes suivantes :
        • Accédez à la page Approbations de tâches.
        • Vous verrez la liste des approbations. Cliquez sur l'< ID de tâche > qui doit être approuvé.
        • Changez l’état en Approuver et enregistrez l'<ID de tâche> mis à jour.
      7. À l’étape suivante, l’enregistrement d’incident de sécurité est mis à jour pour suivre l’état d’approbation.
      8. Ensuite, une tâche est créée pour initier les procédures de confinement.
      9. Le flux secondaire Exécuter la création de demandes de bloc pour les observables malveillants est exécuté et un enregistrement d’incident est créé avec une demande de reconstruction de l’appareil infecté et de ses actifs.
      10. Ensuite, une tâche est créée pour exécuter la recherche de perceptions afin de confirmer si l’environnement est sécurisé.
        La recherche d’observations est répétée jusqu’à ce qu’aucune observation ne soit trouvée.
      11. Ensuite, une tâche est créée pour indiquer que l’enregistrement d’incident de sécurité est prêt à être examiné.
      12. Enfin, l’enregistrement est mis à jour et déplacé vers l’étape Réviser.

    Que faire ensuite

    Vous pouvez cliquer sur Tester pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, cliquez sur Activer pour activer le flux afin qu’il puisse être exécuté.

    Cliquez sur Exécutions pour afficher les détails de l’exécution du flux.

    Flux de playbook de programme malveillant automatisé : exécution