Executar o fluxo automatizado do playbook de malware

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 7 min. de leitura

    • Use este fluxo para automatizar tarefas no playbook para analisar e resolver ataques de malware contra sua organização.

    Antes de Iniciar

    • Função necessária: sn_si.admin, flow_designer e action_designer
    • Instale e configure as seguintes integrações com as credenciais corretas:
      • Palo Alto Networks WildFire for Security Operations
      • Pesquisa de detecções (Splunk)
      • Solicitações de bloqueio
      • Pesquisa de ameaças
      • Aprimorar observáveis

      Verifique se essas integrações estão funcionando corretamente antes de ativar o Security Incident - Automated Malware Playbook Template.

    • Aplicativo Security Operations Palo Alto Networks Wildfire: para acessar o fluxo do playbook automatizado de malware, você deve instalar o Security Operations Spoke e o aplicativo Security Operations Palo Alto Networks - WildFire da ServiceNow Store. Se o aplicativo Security Operations Palo Alto Networks Wildfire não estiver instalado, você verá um erro "fluxo de trabalho na ação número 15.4.1 não encontrado", conforme mostrado abaixo:

      Mensagem de erro da aplicação Palo Alto Networks Wildfire

      Se você não quiser instalar este aplicativo, exclua as etapas 15.2, 15.3 e 15.4 do fluxo do playbook automatizado de malware.

    • Certifique-se de que as seguintes condições foram atendidas:
      • O incidente de segurança foi atribuído a um analista de segurança que pertence ao grupo de aprovação apropriado.
      • O analista de segurança que lida com o incidente deve ter um endereço de e-mail válido.
      • Os itens de configuração e observáveis necessários foram adicionados ao incidente de segurança.
    • Para a etapa 21 (Solicitar aprovação), altere o Grupo de Atribuição de incidente de segurança para o grupo de sua preferência.
    • A etapa 21 do fluxo é uma etapa de aprovação de tarefa obrigatória em que uma solicitação de aprovação é enviada ao administrador. Para aprovar a solicitação, o administrador deve navegar até a página Aprovações de tarefa e definir o campo Estado como Aprovado. Se a tarefa não for aprovada, o Flow Designer não poderá prosseguir e o processo será encerrado.

    Por Que e Quando Desempenhar Esta Tarefa

    Quando uma atividade de código mal-intencionado é detectada na rede, um incidente de segurança é criado e o fluxo automatizado do playbook de malware é iniciado. Você pode usar as tarefas definidas no fluxo do playbook automatizado de malware para fazer triagem, analisar, conter e erradicar a ameaça.

    Procedimento

    1. Navegar até Todos > Flow Designer > Designer para exibir os fluxos disponíveis com o spoke do Security Operations.
    2. Clique no link Incidente de segurança - IV Modelo de malware automatizado.
    3. Na página Fluxo, clique no ícone mais ícone Mais, faça uma cópia do fluxo e abra-o para uso.
      Agora você pode fazer mudanças no fluxo, como modificar condições ou ações do gatilho, ou adicionar e remover ações.Modelo de playbook automatizado de malware

      Isso mostra o gatilho e as etapas que serão executadas com o fluxo. O painel à direita mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.

    4. Clique no ícone Gatilho.
      Na primeira etapa, você define ou define o gatilho do fluxo. Especifique as condições para o gatilho e a tarefa a serem executadas quando as condições forem atendidas.Fluxo automatizado do playbook de malware: gatilho

      Quando a condição definida no fluxo (a categoria é atividade de código malicioso) é atendida no registro do incidente, as tarefas no fluxo de phishing automatizado começam a ser executadas sequencialmente. Você pode modificar o gatilho, adicionar anotações, adicionar ou excluir condições e assim por diante.

    5. A primeira etapa no fluxo é Atualizar registro de incidente de segurança.
      Fluxo automatizado do playbook de malware: etapa 1

      Clique no link e clique no ícone de anotação Ícone de anotação para adicionar uma anotação ao analista de segurança indicando que houve alguma atividade de código mal-intencionado e que o fluxo do playbook de resposta automatizada de malware começou a ser executado.

    6. Prossiga com a etapa 2 no fluxo e clique no link Criar tarefa.

      Nesta etapa, uma tarefa de resposta automatizada é criada para verificar se todos os observáveis necessários foram capturados e se a investigação pode começar.

      Fluxo automatizado do playbook de malware: etapa 2

    7. Se o tipo de resultado for Não, isso indica que não há observáveis e ICs disponíveis para iniciar a investigação.
      Atualize o registro de incidente de segurança para indicar que o playbook não pode prosseguir.
    8. Se o tipo de resultado for Sim, o subfluxo Definir severidade do incidente atribuirá automaticamente a severidade correta ao incidente de segurança.
    9. Na próxima etapa, o registro do incidente de segurança é atualizado.
    10. Na próxima etapa, todos os observáveis envolvidos no incidente ou em uma categoria selecionada são coletados para executar ações automatizadas adicionais nas etapas subsequentes do playbook.
    11. Na próxima etapa, uma tarefa de resposta automatizada será criada.
      Esta tarefa captura o início do processo de obtenção da reputação de todos os observáveis e execução do aprimoramento com integrações configuradas.
    12. Na etapa 8, dois subfluxos são chamados:
      • Executar pesquisas de ameaças para observáveis: este subfluxo é usado para obter a reputação de todos os observáveis usando implementações de pesquisa de ameaças.
      • Aprimorar observáveis: este subfluxo é usado para executar o aprimoramento de observáveis com implementações configuradas.

      Fluxo automatizado do playbook de malware: etapa 8

      Observe os ícones para esta tarefa. O ícone de operações paralelas ícone de operações paralelas indica que ambas as tarefas serão realizadas em paralelo e o ícone de subfluxo ícone de subfluxo indica que a tarefa que está sendo executada é um subfluxo conforme mostrado abaixo:

      Fluxo automatizado do playbook de malware: etapa 8.1.1

      Observe o número 5 no campo de observáveis. Isso indica que a pesquisa de ameaças será executada nos observáveis recuperados na etapa 5. Esse subfluxo, por sua vez, chama fluxos de trabalho e ações existentes.

    13. Na próxima etapa, a ação Executar a pesquisa de registros é executada.
      Esta ação é usada para pesquisar registros de contexto de fluxo de trabalho em que os fluxos de trabalho primários podem ser um dos seguintes.
      • Contexto de fluxo de trabalho abstrato de Pesquisa de ameaças
      • Contexto de Fluxo de Trabalho Abstrato de Aprimoramento de Observável
    14. Na próxima etapa, os resultados de reputação e aprimoramento são revisados para cada oito registros.
    15. Continue revisando as próximas etapas:
      1. Atualizar registro de incidente de segurança: atualiza o registro de incidente de segurança para indicar que a pesquisa de reputação e as atividades de aprimoramento foram concluídas.
      2. Obter observáveis da tarefa: recupera todos os observáveis maliciosos associados ao incidente de segurança.
      3. Criar tarefa: verifica e confirma se as execuções de triagem automatizadas foram bem-sucedidas.
    16. Se houver observáveis que foram sinalizados como maliciosos:
      1. Atualizar registro de incidente de segurança: publique uma anotação de trabalho indicando que uma ameaça foi detectada.
      2. Criar consulta de entrada a partir de observáveis: se mais de dez observáveis forem sinalizados como mal-intencionados, o subfluxo Pesquisa de detecções em observáveis (em Splunk ou Carbon Black) será executado.
    17. Se os observáveis não forem sinalizados como maliciosos, o fluxo continuará com as seguintes etapas:
      1. Atualizar registro de incidente de segurança: publique uma anotação de trabalho indicando que nenhuma ameaça foi detectada
      2. Obter observáveis da tarefa: identifica todos os IDs de hash SHA256 do incidente.
      3. Pesquisar registros observáveis: pesquisa registros que atendem a esses critérios.
    18. Continue revisando as próximas etapas:
      1. Para cada observável malicioso, o fluxo de trabalho Security Operations Palo Alto Networks - Obter aprimoramento de dados do Wildfire é executado.
      2. Revisa os resultados da investigação para ver se eles são satisfatórios.
        Uma tarefa de resposta é criada para verificar se o malware suspeito é um ataque de ransomware. Em caso afirmativo, o subfluxo do Ransomware Playbook será executado.
      3. Na próxima etapa, um e-mail é enviado com um resumo da análise e uma solicitação de aprovação para iniciar os procedimentos de contenção.
      4. Uma tarefa é criada para capturar detalhes da aprovação solicitada.
      5. A próxima etapa é atualizar o registro do incidente de segurança.
        Publique uma anotação de trabalho informando ao analista de segurança que a solicitação de aprovação foi feita.
      6. Solicita aprovação para conter os ataques de malware do seu gerenciador de SOC.
        Etapa 21
        Nota:
        Quando uma solicitação de aprovação for gerada pelo fluxo, a anotação de trabalho será atualizada com a seguinte mensagem:
        Uma solicitação de aprovação foi feita para<task id> prosseguir com a contenção. Para aprovar esta tarefa, como gerente do SOC, siga estas etapas manualmente:
        • Navegue até a página Aprovações de tarefas.
        • Você verá a lista de aprovações. Clique no<task id> que deve ser aprovado.
        • Mude o Estado para Aprovar e Salvar o atualizado<task id> .
      7. Na próxima etapa, o registro do incidente de segurança é atualizado para rastrear o status de aprovação.
      8. Em seguida, uma tarefa é criada para iniciar procedimentos de contenção.
      9. O subfluxo Executar Criar solicitações de bloqueio para observáveis maliciosos é executado e um registro de incidente é criado com uma solicitação para recriar o dispositivo infectado e seus ativos.
      10. Em seguida, uma tarefa é criada para executar a pesquisa de vistas para confirmar se o ambiente é seguro.
        A pesquisa de vistas é repetida até que nenhuma vista seja encontrada.
      11. Em seguida, uma tarefa é criada para indicar que o registro do incidente de segurança está pronto para revisão.
      12. Por fim, o registro é atualizado e movido para a fase Revisar.

    O que Fazer Depois

    Você pode clicar em Testar para simular as ações no fluxo antes que ele seja publicado. Depois de testar o fluxo, clique em Ativar para ativar o fluxo para que ele possa ser executado.

    Clique em Execuções para exibir os detalhes da execução do fluxo.

    Fluxo automatizado do playbook de malware: execução