Beheben Sie Sicherheitsbedrohungen mit dem Playbook

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 8 Minuten Lesedauer

    • Verwenden Sie das Playbook, um bestimmte Arten von Sicherheitsbedrohungen Schritt für Schritt zu beheben. Sie können beispielsweise Phishing-Angriffe und -Bedrohungen, die durch böswillige Codeaktivitäten verursacht werden, mithilfe von Playbooks beheben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Jede Gruppe von Aufgaben (Analyse, Eindämmung usw.) führt Sie durch eine Reihe von Fragen und anderen Aktivitäten zur Lösung der Bedrohung.
    Abbildung : 1. Playbook
    Playbook-Beispiel

    Geben Sie beim Durcharbeiten der einzelnen Aufgaben Arbeitsnotizen ein, um in Zukunft ähnliche Angriffe zu analysieren. Nachdem eine Bedrohung identifiziert wurde, können Sie die Informationen im Playbook auch verwenden, um die Bedrohung unter Quarantäne zu stellen, ähnlich betroffene Assets zu isolieren und Malware zu entfernen.

    Wissensartikel, die in jeder Aufgabe enthalten sind, enthalten Tipps und andere Informationen, die Sie bei der Ausführung der erforderlichen Schritte unterstützen.
    Abbildung : 2. Wissensartikel
    Wissensartikel zur Unterstützung der Phishing-Aufgabe

    Das Basissystem enthält Wissensartikel für jede der Playbook-Aufgaben. Sie können jedoch eigene Wissensartikel schreiben und sie Playbook-Aufgaben zuordnen.

    Hinweis:
    Ein Beispiel für die Verwendung des Playbooks zum Analysieren und Beheben einer bestimmten Bedrohung finden Sie unter Behebung von von Benutzern gemeldeten Phishing-Angriffen mit dem Playbook.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents (neue UI).
      Der Bildschirm „Security Incidents“ zeigt Security Incidents, die Ihnen zugewiesen wurden.
      Security Incidents
    2. Sie können auf die Auswahlliste Mir zugewiesen klicken, um einen anderen Filter auszuwählen, z. B. alle offenen Incidents oder alle nicht zugewiesenen Incidents.
      Alternativ können Sie auf einen der Schnellfilter klicken, um Security Incidents eines bestimmten Typs anzuzeigen, z. B. nur kritische Incidents.
    3. Klicken Sie auf den Security Incident, den Sie analysieren möchten.

      Erwägen Sie die Priorisierung von Security Incidents mit hohen Risikopunktzahlen.

    4. Wenn der Playbook-Bereich am rechten Rand des Bildschirms geschlossen ist, klicken Sie auf das Playbook-Symbol ( Playbook), um ihn zu öffnen.
      Wenn dem Security Incident kein Playbook zugewiesen ist, können Sie wie unten gezeigt ein Playbook aus der Auswahlliste Ausgewähltes Playbook auswählen:

      Wählen Sie Playbook aus
      Sie können dem Security Incident auch ein anderes Playbook zuweisen. Wie Sie ein Playbook in die Auswahlliste Ausgewähltes Playbook aufnehmen oder das Playbook für einen Security Incident ändern, erfahren Sie unter Aktivieren Sie Playbooks für die Analystenauswahl.

      Das für den Typ der Sicherheitsbedrohung spezifische Playbook wird geöffnet. Sie ist in Kategorien mit ähnlichen Aufgaben unterteilt. Verwenden Sie beispielsweise die Aufgaben in der Gruppe „ Analyse “, um die Gültigkeit und den Umfang der Bedrohung zu bestimmen. Die Gruppe „ Enthalten “ enthält Aufgaben zum Eingrenzen der Bedrohung für einen bestimmten Benutzer oder ein bestimmtes Asset. Die Aufgaben in der Gruppe „ Beseitigen “ führen Sie durch den Prozess zum Entfernen der Malware oder zum erneuten Erstellen eines Host-Images.

    5. Klicken Sie auf die erste Gruppe (Analyse), und klicken Sie dann auf die erste Aufgabe im Playbook.
    6. Befolgen Sie die Anweisungen in der Aufgabe.
      • Einige Aufgaben stellen eine Frage, z. B. „Ist E-Mail Teil der Kampagne?“. Führen Sie die erforderliche Analyse durch, um die Frage zu beantworten, und wählen Sie Ja oder Nein.
      • Wenn Sie Wissensartikel definiert und Playbook-Aufgaben zugeordnethaben, werden die Artikel angezeigt, wenn Sie mit der Arbeit an einer Aufgabe beginnen.
      • Einige Aufgaben sind Übergangsaufgaben. Sie weisen Sie einfach an, eine Aktion auszuführen, z. B. einem Security Incident erkennbare Elemente hinzuzufügen. Klicken Sie nach Abschluss der Aktion auf Als abgeschlossen markieren.
      Wenn Sie Aufgaben abschließen, werden Ihnen basierend auf den von Ihnen getroffenen Entscheidungen nachfolgende Aufgaben angezeigt. Ausgegraute Gruppen (z. B. Wiederherstellen, Überprüfenusw.) können durch Ihre Auswahl aktiviert werden.
    7. Setzen Sie die Arbeit an jeder Aufgabe fort, bis Sie alle Aufgaben abgeschlossen haben, um die Bedrohung zu beheben und den Security Incident zu schließen.

    Behebung von von Benutzern gemeldeten Phishing-Angriffen mit dem Playbook

    Das Phishing-Playbook führt Sie durch die Aufgaben, die für die Analyse und Lösung eines von einem Mitarbeiter Ihres Unternehmens gemeldeten Phishing-Angriffs erforderlich sind.

    Wie Security Incidents aus von Benutzern gemeldeten Phishing-Angriffen erstellt werden

    Während der Einrichtung von Security Incident Response erstellt Ihr Systemadministrator eine Reihe von E- Mail-Abgleichregeln, die E-Mails identifizieren können, die Anzeichen eines Phishing-Angriffs enthalten. Wenn Mitarbeiter eine verdächtige E-Mail erhalten, die die häufigsten Anzeichen eines Phishing-Angriffs enthält (wie in Ihren Sicherheitsrichtlinien definiert), können sie sie als EML-Anhang an die von Ihrer Organisation festgelegte Phishing-E-Mail-Adresse senden.

    Wenn die E-Mail an der Phishing-E-Mail-Adresse empfangen wird, wird der EML-Anhang analysiert und seine Informationen werden mit den E-Mail-Abgleichregeln verglichen. Wenn eine Übereinstimmung gefunden wird, wird ein Security Incident mit den folgenden Informationen erstellt:
    • Die Kurzbeschreibung enthält Phishing vom Anwender gemeldet, gefolgt vom eigentlichen Betreff der ursprünglichen E-Mail.
    • Die EML-Datei wird an den Security Incident angehängt.
    • Wenn die EML-Datei erkennbare Elemente enthielt, werden diese analysiert, und Ergänzungs- und Bedrohungssuchen werden automatisch durchgeführt.
    Abbildung : 3. Anwender hat Phishing gemeldet
    Anwender hat einen Phishing-Security Incident gemeldet
    Wenn ein Security Incident der Kategorie „Phishing“ geöffnet wird, ist das Phishing-Playbook automatisch verfügbar. Klicken Sie einfach auf das Playbook-Symbol ( Playbook), um das Playbook zu öffnen.
    Abbildung : 4. Phishing-Playbook
    Bereich „Phishing-Playbook“.

    Das Phishing-Playbook enthält Aufgaben, die Sie bei der Analyse, Eindämmung und Beseitigung einer Phishing-Bedrohung unterstützen. Die Aufgaben sind in Status organisiert (z. B. Analyse, Eindämmenusw.). Wenn alle Aufgaben für einen Status abgeschlossen wurden, führt Sie das Playbook zum nächsten Status.

    Details zu Security Incidents werden analysiert

    Wenn sich der Security Incident im Status „Analyse“ befindet, erhalten Sie Aufgaben zur Durchführung grundlegender Untersuchungen des Incidents, einschließlich:
    • Bestimmen der Gültigkeit des Incident.
    • Untersuchung der Auswirkungen der potenziellen Bedrohung.
    • Eine effektive Reaktion auf den Incident koordinieren.
    Während Sie die Aufgaben durcharbeiten:
    • Machen Sie sich mit den Wissensartikeln vertraut.
    • Öffnen Sie den E-Mail-Anhang, und untersuchen Sie ihn auf Anzeichen für häufige Phishing-Elemente.
    • Überprüfen Sie die Ergebnisse der Bedrohungssuche.

    Eindämmung des Security Incident

    Wenn sich der Security Incident im Status „ Eindämmen “ befindet, erhalten Sie Aufgaben zur Überprüfung der Details der E-Mail. Um sicherzustellen, dass Bedrohungen nicht in Ihre Organisation gelangen können, aktualisieren Sie Ihre Netzwerkabwehr in Form von Signaturen und Regeln für das Angriffsabwehrsystem (IDS) und das Angriffsverhinderungssystem (IPS).

    Während Sie die Aufgaben durcharbeiten:
    • Ergreifen Sie Maßnahmen, um die Auswirkungen von Bedrohungen zu begrenzen, z. B. die Isolierung der betroffenen Geräte.
    • Überprüfen Sie die an die E-Mail angehängten erkennbaren Elemente.
    • Stellen Sie fest, ob E-Mail-Inhalte einer bekannten Bedrohung zugeordnet sind, einschließlich:
      • URL
      • E-Mail-Absender
      • Phishing-URL
      • IP-Adresse des SMTP-Servers des Absenders

    Die Malware wird entfernt

    Nachdem Sie aktualisierte Signaturen und Regeln für Ihre Antivirenlösung bereitgestellt haben, verwenden Sie die Aufgaben im Status „ Beseitigen “, um festzustellen, ob Malware vorhanden ist, und sie entsprechend zu behandeln.

    Während Sie die Aufgaben durcharbeiten:
    • Scannen Sie die Endpunkte der betroffenen Geräte auf Malware.
    • Entfernen Sie die gefundene Malware.
    • Als letzten Ausweg können Sie die Hostgeräte löschen und ein neues Image erstellen.

    Überprüfen des Security Incident

    Wenn Sie bei der Ausführung der Analyseaufgaben festgestellt haben, dass ein Phishing-Angriff ein falscher Alarm war, wird der Security Incident in den Überprüfungsstatus versetzt, und Sie müssen Ihre Benutzer benachrichtigen, damit sie wissen, dass der E-Mail-Anhang sicher geöffnet werden kann.

    Der Security Incident wird geschlossen

    Wenn alle Aufgaben im Playbook abgeschlossen sind, wird der Security Incident in den Status „ Geschlossen “ verschoben. Sie müssen Abschlusskommentare eingeben, bevor der Incident geschlossen werden kann.

    Abbruch eines Security Incident

    Wenn sich ein Security Incident im Überprüfungsstatus befindet und Sie Ihre Benutzer erfolgreich darüber informiert haben, dass die E-Mail keine Bedrohung darstellt, wird der Status Abgebrochen aktiviert, und Sie können den Security Incident abbrechen.

    Hinweis:
    Die Aufgabe „Wiederherstellen“ wird im Phishing-Playbook nicht verwendet.

    Verknüpfen Sie einen Wissensartikel mit einer Playbook-Aufgabe

    Wenn Sie Sicherheitsbedrohungen mit dem Playbook Security Incident Response analysieren, können Sie Wissensartikel für jede Aufgabe anzeigen, sofern dies von Ihrer Organisation definiert wurde. Wenn keine Wissensartikel vorhanden sind, können Sie sie erstellen und Playbook-Aufgaben zuordnen.

    Vorbereitungen

    Wenn Sie das Playbook in Security Incident Responseverwenden, beachten Sie den Text, der jeder Aufgabe zugeordnet ist. Zum Beispiel lautet die erste Aufgabe in der Phishing-Kategorie „ Wurde vom Mitarbeiter benachrichtigt?“ – Übermittelt? Dies ist die Kurzbeschreibung der Aufgabe. Sie benötigen diesen Text (genau so, wie er im Playbook angezeigt wird), um der Aufgabe einen Wissensartikel zuzuordnen.

    Erforderliche Rolle: sn_sir.knowledge_admin und entweder sn_si.admin oder admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Katalog & Wissen > Wissen.
    2. Erstellen und veröffentlichen Sie einen Wissensartikel für eine bestimmte Playbook-Aufgabe.
    3. Navigieren zu Security Incident > Manuelles Runbook > Neues Runbook erstellen.
    4. Erstellen Sie ein Runbook, indem Sie die folgenden Informationen ausfüllen:
      Feld Beschreibung
      Wissensartikel Wählen Sie den veröffentlichten Wissensartikel aus, den Sie der Playbook-Aufgabe zuordnen möchten.
      Tabelle Wählen Sie Security Incident Response Aufgabe [sn_si_task].
      Bedingung Legen Sie den Bedingungsgenerator fest auf:
      • Option: Wählen Sie Kurzbeschreibung aus.
      • Operator:Wählen Sie istaus.
      • Eingabewert: Geben Sie die Kurzbeschreibung für die Aufgabe genau so ein, wie sie im Playbook angezeigt wird.
    5. Klicken Sie auf Absenden.
      Wenn Sie das Playbook das nächste Mal ausführen und diese Aufgabe auswählen, wird der zugehörige Wissensartikel angezeigt.

    Fügen Sie dem Playbook eine benutzerdefinierte Aufgabe hinzu

    Das Security Analyst Workspace Basissystem enthält eine Reihe von Aufgaben für jede Bedrohungskategorie. Sie können benutzerdefinierte Aufgaben erstellen, die den spezifischen Anforderungen Ihres Systems oder Ihrer Kunden entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.basic oder security_admin

    Prozedur

    1. Klicken Sie bei geöffnetem Playbook auf Aufgabe hinzufügen.
      Klicken Sie auf die Schaltfläche Aufgabe hinzufügen
      Der Bildschirm Benutzerdefinierte Aufgabe hinzufügen wird geöffnet.
      Fügen Sie eine benutzerdefinierte Playbook-Aufgabe hinzu
    2. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Nummer [Nur Lesen] Die automatisch generierte Nummer der Security Incident-Aufgabe.
      Übergeordnet Die Nummer des zugehörigen Security Incidents.
      Konfigurationselement Das vom Sicherheitsproblem betroffene Konfigurationselement, falls vorhanden.
      Betroffener Anwender Der vom Sicherheitsproblem betroffene Benutzer, falls vorhanden.
      Priorität Wählen Sie die Priorität aus, die bestimmt, wann diese Aufgabe ausgeführt werden soll.
      Status des Security Incidents Aktueller Status der Sicherheitsreaktionsaufgabe Sie können bei Bedarf einen zukünftigen Status auswählen.
      Ergebnistyp Wenn Sie die Rolle „sn_si.basic“ haben, wählen Sie Ja/Nein als Ergebnistyp aus.

      Wenn Sie die Rolle „security_admin“ haben, können Sie einen benutzerdefinierten Ergebnistyp mit mehreren benutzerdefinierten Ausgabewerten erstellen. Sie können beispielsweise eine Aufgabe mit abhängigen Werten basierend auf der Bedrohungskategorie definieren. Weitere Informationen finden Sie unter Auswahllisten
      Zuweisungsgruppe Die Zuweisungsgruppe, aus der der zugewiesene Mitarbeiter ausgewählt wird.
      Zugewiesen an Die Person, der die Aufgabe zugewiesen wurde.
      Kurzbeschreibung Eine Beschreibung der Security Incident-Playbook-Aufgabe.
      Beschreibung Geben Sie eine Beschreibung für die ausgewählte Aufgabe ein.
    3. Wenn Sie Ihre Eingaben abgeschlossen haben, klicken Sie auf Aufgabe hinzufügen.
      Die Aufgabe wird nach der aktuellen Aufgabe in das Playbook eingefügt.