Resolver ameaças à segurança com o playbook

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

8 min. de leitura

Use o Playbook para resolver determinados tipos de ameaças à segurança passo a passo. Por exemplo, você pode resolver ataques de phishing e ameaças causados por atividade de código mal-intencionado usando playbooks.

Antes de Iniciar

Função necessária: sn_si.admin ou admin

Por Que e Quando Desempenhar Esta Tarefa

Cada grupo de tarefas (Análise, Contenção e assim por diante) orienta você em uma série de perguntas e outras atividades para resolver a ameaça.

Exemplo de playbook — Figura 1. Playbook

Conforme você trabalha em cada tarefa, insira anotações de trabalho para ajudar a analisar ataques semelhantes no futuro. Depois que uma ameaça é identificada, você também pode usar as informações do playbook para colocar a ameaça em quarentena, isolar ativos afetados de forma semelhante e remover malware.

Os artigos de conhecimento, incluídos em cada tarefa, fornecem dicas e outras informações para ajudá-lo a executar as etapas necessárias.

Artigo de conhecimento em suporte à tarefa de phishing — Figura 2. Artigos de conhecimento

O sistema básico inclui artigos de conhecimento para cada uma das tarefas do playbook. Você pode, no entanto, escrever seus próprios artigos de conhecimento e associá-los a tarefas do playbook.

Nota:

Para obter um exemplo de como usar o playbook para analisar e resolver uma ameaça específica, consulte Resolver ataques de phishing relatados pelo usuário com o playbook.

Procedimento

Navegar até Todos > Incidente de segurança > Incidentes (Nova IU).
A tela Incidentes de segurança mostra os incidentes de segurança que foram atribuídos a você.
Você pode clicar na lista de seleção Atribuído a mim para selecionar um filtro diferente, como todos os incidentes abertos ou todos os incidentes não atribuídos.
Como alternativa, você pode clicar em um dos Filtros rápidos para exibir incidentes de segurança de um tipo específico, como somente incidentes críticos.
Clique no incidente de segurança que você deseja analisar.

Considere priorizar incidentes de segurança com pontuações altas de risco.
Se o painel do playbook na borda direita da tela estiver fechado, clique no ícone do playbook ( ) para abri-lo.
Se nenhum playbook for atribuído ao incidente de segurança, você poderá selecionar um playbook na lista de seleção Playbook selecionado, conforme mostrado abaixo:

Você também pode atribuir um playbook diferente ao incidente de segurança. Para incluir um playbook na lista de seleção Playbook selecionado ou para mudar o playbook para um incidente de segurança, consulte Habilitar playbooks para seleção do analista para obter detalhes.

O playbook específico para o tipo de ameaça à segurança é aberto. Ele é dividido em categorias de tarefas semelhantes. Por exemplo, você usa as tarefas no grupo de análise para determinar a validade e o escopo da ameaça. O grupo Contêm inclui tarefas para isolar a ameaça a um usuário ou ativo específico. As tarefas no grupo Erradicar orientam você no processo de remoção do malware ou recriação da imagem do host.
Clique no primeiro grupo (Análise) e na primeira tarefa no playbook.
Siga os avisos da tarefa.
- Algumas tarefas fazem uma pergunta, como "O e-mail faz parte da campanha?" Realize a análise necessária para responder à pergunta e selecione Sim ou Não.
- Se você definiu artigos de conhecimento e os associou a tarefas do playbook, os artigos serão exibidos quando você começar a trabalhar em uma tarefa.
- Algumas tarefas são transicionais. Eles simplesmente instruem você a executar uma ação, como adicionar observáveis a um incidente de segurança. Depois de concluir a ação, clique em Marcar como concluído.
Conforme você conclui as tarefas, as tarefas subsequentes são apresentadas a você com base nas escolhas feitas. Grupos esmaecidos (como Recuperar, Revisare assim por diante) podem ser ativados por suas escolhas.
Continue trabalhando em cada tarefa apresentada a você até concluir todas as tarefas para resolver a ameaça e fechar o incidente de segurança.

Resolver ataques de phishing relatados pelo usuário com o playbook

O playbook de Phishing orienta você nas tarefas necessárias para analisar e resolver um ataque de phishing relatado por um dos funcionários da sua empresa.

Como os incidentes de segurança são criados a partir de ataques de phishing relatados pelo usuário

Durante a configuração do Security Incident Response, o administrador do sistema cria uma série de regras de correspondência de e-mail que podem identificar e-mails que contêm sinais de um ataque de phishing. Quando os funcionários recebem um e-mail suspeito que contém os sinais comuns de um ataque de phishing (conforme definido por suas políticas de segurança), eles podem enviá-lo como um anexo .EML para o endereço de e-mail de phishing definido pela sua organização.

Quando o e-mail é recebido no endereço de e-mail de phishing, o anexo .EML é analisado e suas informações são comparadas com as regras de correspondência de e-mail. Se uma correspondência for encontrada, um incidente de segurança contendo as seguintes informações será criado:

A descrição resumida inclui Phishing relatado pelo usuário, seguido pelo assunto real do e-mail de origem.
O arquivo .EML é anexado ao incidente de segurança.
Se o .EML contiver observáveis, eles serão analisados e as pesquisas de aprimoramento e ameaça serão realizadas automaticamente.

Incidente de segurança de phishing relatado pelo usuário — Figura 3. Phishing relatado pelo usuário

Quando um incidente de segurança de categoria de phishing é aberto, o Playbook de phishing é disponibilizado automaticamente. Basta clicar no ícone do playbook (

) para abrir o playbook.

Painel do playbook de phishing — Figura 4. Playbook de phishing

O playbook de Phishing contém tarefas para ajudá-lo a analisar, conter e erradicar uma ameaça de phishing. As tarefas são organizadas em estados (por exemplo, Análise, Contême assim por diante). Quando todas as tarefas de um estado forem concluídas, o playbook guiará você para o próximo estado.

Analisando detalhes do incidente de segurança

Quando o incidente de segurança está no estado Análise, você recebe tarefas para executar a investigação básica do incidente, incluindo:

Determinar a validade do incidente.
Estude o impacto da possível ameaça.
Coordenar uma resposta eficaz ao incidente.

Conforme você trabalha nas tarefas:

Familiarize-se com os artigos de conhecimento.
Abra o anexo de e-mail e examine-o em busca de sinais de elementos de phishing comuns.
Analise os resultados da pesquisa de ameaças.

Contendo o incidente de segurança

Quando o incidente de segurança está no estado Contêm, você recebe tarefas para revisar os detalhes do e-mail. Para garantir que as ameaças não possam entrar na sua organização, atualize as defesas da rede, na forma de assinaturas e regras do Sistema de defesa contra intrusão (IDS) e do Sistema de prevenção de intrusão (IPS).

Conforme você trabalha nas tarefas:

Tome ações para limitar os impactos da ameaça, como isolar os dispositivos afetados.
Examine os observáveis anexados ao e-mail.
Determine se algum conteúdo de e-mail está associado a uma ameaça conhecida, incluindo:
- URL
- Remetente do e-mail
- URL de phishing
- Endereço IP do servidor SMTP do remetente

Erradicando o malware

Depois de implantar assinaturas e regras atualizadas em sua solução antivírus, use as tarefas no estado Erradicar para determinar se o malware está presente e trate-o de acordo.

Conforme você está trabalhando nas tarefas:

Verifique os endpoints dos dispositivos afetados quanto à presença de malware.
Remova qualquer malware encontrado.
Como último recurso, limpe e crie novamente a imagem dos dispositivos host.

Revisando o incidente de segurança

Se você determinou que um ataque de phishing foi um alarme falso ao executar as tarefas de análise, o incidente de segurança passa para o estado Revisar e você precisa notificar os usuários para que eles saibam que é seguro abrir o anexo de e-mail.

Fechando o incidente de segurança

Quando todas as tarefas no playbook forem concluídas, o incidente de segurança será movido para o estado Encerrado. Você deve inserir comentários de encerramento antes que o incidente possa ser encerrado.

Como cancelar um incidente de segurança

Quando um incidente de segurança está no estado Revisão e você informou com sucesso os usuários de que o e-mail não é uma ameaça, o estado Cancelado se torna ativo e você pode cancelar o incidente de segurança.

Nota:

A tarefa de recuperação não é usada no playbook de phishing.

Associar um artigo de conhecimento a uma tarefa do playbook

Ao analisar as ameaças à segurança usando o playbook Security Incident Response, você pode exibir artigos de conhecimento para cada tarefa, se definida pela sua organização. Se os artigos de conhecimento não estiverem presentes, você poderá criá-los e associá-los a tarefas do playbook.

Antes de Iniciar

Ao usar o playbook em Security Incident Response, anote o texto associado a cada tarefa. Por exemplo, a primeira tarefa na categoria Phishing é O alerta foi enviado pelo funcionário? Esta é a descrição resumida da tarefa e você precisa deste texto (exatamente como ele aparece no playbook) para associar um artigo de conhecimento à tarefa.

Função necessária: sn_sir.knowledge_admin e sn_si.admin ou admin

Procedimento

Navegar até Tudo > Incidente de segurança > Catálogo e Conhecimento > Conhecimento.
Crie e publique um artigo de conhecimento para uma tarefa específica do playbook.
Navegar até Incidente de segurança > Runbook manual > Criar Novo Runbook.

Crie um runbook, preenchendo as seguintes informações:


Campo	Descrição
Artigo de conhecimento	Selecione o artigo de conhecimento publicado que você deseja associar à tarefa do playbook.
Tabela	Selecione Security Incident Response Tarefa [sn_si_task].
Condição	Defina o construtor de condição como: Opção: selecione Descrição resumida. Operador:Selecione é. Valor de entrada: insira a descrição resumida da tarefa, exatamente como ela aparece no playbook.

Clique em Enviar.
Na próxima vez em que você executar o playbook e selecionar esta tarefa, o artigo de conhecimento associado será exibido.

Adicionar uma tarefa personalizada ao playbook

O sistema de base Espaço do analista de segurança inclui uma série de tarefas para cada categoria de ameaça. Você pode criar tarefas personalizadas que atendam às necessidades exclusivas do seu sistema ou dos clientes.

Antes de Iniciar

Função necessária: sn_si.basic ou security_admin

Procedimento

Com o playbook aberto, clique em Adicionar tarefa.

A tela Adicionar tarefa personalizada é aberta.

Preencha os campos, conforme necessário.


Campo	Descrição
Número	[Somente leitura] O número da tarefa do incidente de segurança gerado automaticamente.
Primário	O número do incidente de segurança relacionado.
Item de configuração	O item de configuração afetado pelo problema de segurança, se houver.
Usuário afetado	O usuário afetado pelo problema de segurança, se houver.
Prioridade	Selecione a prioridade usada para determinar quando esta tarefa deve ser realizada.
Estado do Incidente de segurança	O estado atual da tarefa de resposta de segurança. Você pode selecionar um estado futuro, se necessário.
Tipo de resultado	Se você tiver a função sn_si.basic, selecione Sim/Não como o tipo de resultado. Se você tiver a função security_admin, poderá criar um tipo de resultado personalizado com vários valores de saída personalizados. Por exemplo, você pode definir uma tarefa com valores dependentes com base na categoria de ameaça. Para obter mais informações, consulte Listasde seleção
Grupo de atribuição	O grupo de atribuição do qual o trabalhador atribuído será selecionado.
Atribuído a	O indivíduo atribuído para executar a tarefa.
Descrição resumida	Uma descrição da tarefa do playbook de incidente de segurança.
Descrição	Insira uma descrição para a tarefa selecionada.

Ao concluir as entradas, clique em Adicionar tarefa.
A tarefa é inserida no playbook seguindo a tarefa atual.