Security Incident-Playbook

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Rufen Sie den Security Incident-Playbook-Flow automatisch oder manuell auf.

    Ein Playbook ist nur sichtbar, wenn mindestens ein Playbook einem Security Incident zugeordnet ist. Die Playbook-Komponente funktioniert nur für die mit PAD (Process Automation Designer) erstellten Prozesse und nicht für die mit Flow Designer erstellten Flows. Für die vorhandenen Flow Designer-fähigen Flows funktioniert sie weiterhin, und die Aktivitäten werden weiterhin als Antwortaufgaben gerendert.

    Es gibt zwei Möglichkeiten, das Playbook dem Security Incident zuzuordnen:
    • Playbook automatisch aufrufen
    • Fügen Sie das Playbook manuell hinzu

    Playbook automatisch aufrufen

    Damit ein Playbook automatisch aufgerufen wird, muss ein Prozess mit Process Automation Designer (PAD)definiert werden. Wenn die Auslöserbedingung erfüllt ist, wird automatisch die Playbook-Registerkarte mit den angezeigten Playbook-Aktivitäten gerendert.

    Fügen Sie das Playbook manuell hinzu

    Um ein Playbook manuell aufzurufen, navigieren Sie zur Dropdown-Liste der Formular-UI-Aktion, und wählen Sie Playbook hinzufügenaus. Weitere Informationen finden Sie unter. Playbook hinzufügen
    Hinweis:
    Wenn bereits ein Playbook verfügbar ist, werden die neu hinzugefügten Playbooks parallel zu den vorhandenen Playbooks ausgeführt.
    • Innerhalb des Playbooks kann der Analyst die Playbook-Karten nach Status filtern.
    • Der Analyst kann ein Playbook abbrechen, indem er es über das Ellipse-Symbol auswählt.
    • Innerhalb jeder Aktivität kann der Analyst die in den Aktivitätskarten definierten Aktionen ausführen, z. B. Überspringen, Als abgeschlossen markieren, Abbrechen, oder Orchestration-Aktionen wie An Sandbox senden, E-Mails durchsuchen usw.
    • Jede dieser Aktionen wird in der Aktivitätsdefinition definiert, und die vollständige sichtbare Karte kann zum Zeitpunkt der Erstellung der Aktivitätsdefinition selbst angepasst werden.
    Hinweis:
    Alle zukünftigen Aktivitätsdefinitionen und die nächsten auszuführenden Schritte werden mit einem Sperrsymbol angezeigt und befinden sich für den Benutzer im schreibgeschützten Modus. Der Playbook-Anzeigemodus wird durch eine Konfiguration gesteuert, wie unten erläutert.
    1. Navigieren zu Alle > Playbook Experiences.
    2. Wählen Sie auf der Seite „Playbook-Experiences“ eine SIR-Playbook-Experienceaus.
      Abbildung : 1. Playbook-Experience
      Die Security Incident Playbook-Experience
      Die Seite „Playbook-Experience – SIR-Playbook-Experience “ wird angezeigt.
      Abbildung : 2. Playbook-Experience-Datensatz
      Bearbeiten des SIR-Playbook-Experience-Datensatzes
    3. Klicken Sie auf den Konfigurationsdatensatz.
      Playbook-Konfigurationsdatensatz
    4. Klicken Sie auf der Registerkarte Konfiguration auf die SIR-Playbook-Experience-Konfiguration.
      Abbildung : 3. Playbook-Konfiguration
      Bearbeiten Sie die Playbook-Konfiguration
    5. Navigieren Sie zur Dropdown-Liste des Felds Sichtbarkeit ausstehender Elemente, wählen Sie die gewünschte Option aus, und speichern Sie den Datensatz. Wählen Sie eine der folgenden Optionen aus:
      • Ausstehende Aktivitäten ausblenden: Wählen Sie diese Option aus, um die ausstehenden Aktivitäten auszublenden, die im Playbook-Abschnitt des Arbeitsbereichs angezeigt werden sollen.
        Abbildung : 4. Beispiel für von Anwender gemeldetes Phishing
        Blenden Sie ausstehende Aktivitäten im Phishing-Handbuch-Playbook aus.
      • Ausstehende Phasen und Aktivitätenanzeigen: Wählen Sie diese Option aus, um ausstehende Phasen und Aktivitäten anzuzeigen, die im Playbook-Abschnitt des Arbeitsbereichs angezeigt werden sollen.
        Abbildung : 5. Ausstehende Stufen und Aktivitäten anzeigen
        Zeigen Sie ausstehende Phasen und Aktivitäten im Phishing-Handbuch-Playbook an
      • Ausstehende Aktivitäten und Phasenausblenden: Wählen Sie diese Option aus, um ausstehende Aktivitäten und Phasen auszublenden, die im Playbook-Abschnitt des Arbeitsbereichs angezeigt werden sollen.
        Abbildung : 6. Ausstehende Aktivitäten und Stufen ausblenden
        Blenden Sie ausstehende Aktivitäten und Phasen im Phishing-Handbuch-Playbook aus
    6. Verwenden Sie im Abschnitt „Playbook“ die Filteroption, um die Aktivitäten nach Playbook-Kartenstatus (Aktivitätsdefinition) zu filtern.
      Abbildung : 7. Playbook-Kartenstatus
      Playbook-Kartenstatus

    Playbook hinzufügen

    Verwenden Sie diesen Abschnitt, um das Playbook manuell hinzuzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Security Analyst Workspace.
    2. Öffnen Sie einen Incident-Datensatz.
    3. Klicken Sie auf Playbook hinzufügen.
      Fügen Sie ein Playbook manuell hinzu
      Das Dialogfeld „ Playbook hinzufügen“ wird angezeigt.
      Fügen Sie ein Playbook hinzu
    4. Wählen Sie die Playbook-Vorlage aus.
    5. Klicken Sie auf Playbook hinzufügen.
      Ein Bestätigungsdialogfeld wird angezeigt, in dem Sie bestätigen müssen.
    6. Klicken Sie auf Trotzdem hinzufügen.
      Bestätigungsnachricht
    7. Das Playbook wird neben der Registerkarte „ Details “ hinzugefügt.
      Playbook-Bestätigungsnachricht
    8. Klicken Sie auf die Registerkarte Playbook.
      Playbook-Aktivitäten
    9. Führen Sie die Reihe der aufgeführten Aktivitäten aus, um zur nächsten Ebene zu gelangen.
      Hinweis:
      Wenn ein Security Incident einem Playbook zugeordnet ist, kann der Benutzer bis zum Schließen oder Abbrechen des zugeordneten Playbooks dasselbe Playbook nicht erneut demselben Security Incident zuordnen.