Usar o playbook de detecção de repetição

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de repetição.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer
    Certifique-se de ter instalado o Security Operations Spoke (sn_sec_spoke). Você tem a opção de modificar as seguintes propriedades do sistema:
    • sn_sec_spoke.similarphish.earlytermificationspontuação
    • sn_sec_spoke.similarphish.lookbackdays
    • sn_sec_spoke.similarphish.maxcomparsonsize
    • sn_sec_spoke.similarphish.minmatchscore

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Etapa 1, o playbook recupera a data relativa do incidente de segurança usando a configuração de dia.
    2. Na etapa 2, o playbook pesquisa os registros do observável de tarefa na tabela sn_ti_m2m_task_observable que correspondem ao incidente com base no ID da mensagem.
      Figura 1. Playbook de detecção de repetição
      Pesquisa registros observáveis de tarefa com base no ID da mensagem.
    3. Na etapa 3, o playbook compara os observáveis da tarefa e o corpo do e-mail usando o algoritmo Levenshtein para incidentes que correspondem ao ID da mensagem.
    4. Na etapa 4, com base na investigação feita até o momento, o playbook verifica se o incidente correspondente foi encontrado com base no ID da mensagem ou não.
      Na etapa 5, se o incidente correspondente for encontrado, o playbook atualizará automaticamente a anotação de trabalho de que uma correspondência foi encontrada com base na automação da detecção de repetição. Na Etapa 6, o fluxo termina.
    5. Se o incidente correspondente não for encontrado, na etapa 7, o playbook pesquisará os registros do observável de tarefa na tabela sn_ti_m2m_task_observable que correspondem ao incidente com base no assunto.
    6. Na etapa 8, o playbook compara os observáveis da tarefa e o corpo do e-mail usando o algoritmo Levenshtein para incidentes que correspondem ao assunto.
    7. Na Etapa 9, o playbook verifica se o incidente correspondente foi encontrado ou não.
      Na etapa 10, se o incidente correspondente for encontrado, o playbook atualizará automaticamente a anotação de trabalho de que uma correspondência foi encontrada com base na automação da detecção de repetição. Na Etapa 11, o fluxo termina.
      Figura 2. Incidente correspondente
      Quando o incidente correspondente é encontrado, as anotações de trabalho são atualizadas.
    8. Na etapa 12, o playbook pesquisa os registros do observável de tarefa na tabela sn_ti_m2m_task_observable que correspondem ao incidente com base no endereço.
    9. Na etapa 13, o playbook compara os observáveis da tarefa e o corpo do e-mail usando o algoritmo Levenshtein para incidentes que correspondem ao endereço.
    10. Na Etapa 14, o playbook verifica se o incidente correspondente foi encontrado com base no Endereço ou não.
      Na etapa 15, se o incidente correspondente for encontrado, o playbook atualizará automaticamente a anotação de trabalho de que uma correspondência foi encontrada com base na automação da detecção de repetição. Na Etapa 16, o fluxo termina.