Playbook de incidente de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Invoque o fluxo do playbook de incidente de segurança automaticamente ou manualmente.

    Um Playbook ficará visível somente se pelo menos um playbook estiver associado a um incidente de segurança. O componente do playbook funciona somente para os processos criados pelo Designer de automação de processos (PAD) e não para os fluxos criados pelo Flow Designer. Para os fluxos habilitados do Flow Designer existentes, ele continuará a funcionar e as atividades continuarão a ser renderizadas como tarefas de resposta.

    Existem duas maneiras de associar o playbook ao incidente de segurança:
    • Invocar playbook automaticamente
    • Adicionar playbook manualmente

    Invocar playbook automaticamente

    Para que um Playbook seja invocado automaticamente, um processo precisa ser definido usando o Designer de automação de processos (PAD)e, quando a condição do gatilho for atendida, a guia do playbook será renderizada automaticamente com as atividades do playbook sendo exibidas.

    Adicionar playbook manualmente

    Para que um Playbook seja invocado manualmente, navegue até o menu suspenso Ação de IU Formulário e selecione Adicionar Playbook. Para obter mais informações, consulte, Adicionar Playbook
    Nota:
    Se já houver um playbook disponível, os novos playbooks adicionados serão executados em paralelo aos playbooks existentes.
    • No playbook, o analista pode filtrar os cartões do playbook por status.
    • O analista pode cancelar um playbook selecionando-o no ícone de elipse.
    • Em cada atividade, o analista poderá executar as ações definidas nos cartões de atividade, como Ignorar, Marcar como concluído, Cancelar ou ações de Orquestração, como Enviar para área restrita, Pesquisar e-mails e assim por diante.
    • Cada uma dessas ações é definida na definição de atividade e o cartão completo visível é personalizável no momento da criação da própria definição de atividade.
    Nota:
    Todas as definições de atividade futura e as próximas etapas a serem executadas são exibidas com um ícone de cadeado e estão no modo somente leitura para o usuário. O modo de exibição do playbook é controlado por uma configuração conforme explicado abaixo.
    1. Navegar até Todos > Playbook Experiences.
    2. Na página Playbook Experiences, selecione uma SIR Playbook Experience.
      Figura 1. Playbook Experience
      A experiência do Playbook de incidente de segurança
      A página Playbook Experience SIR da Playbook Experience é exibida.
      Figura 2. Registro da Playbook Experience
      Editar o registro SIR da Playbook Experience
    3. Clique no registro de configuração.
      Registro de configuração do playbook
    4. Na guia Configuração, clique em SIR Configuração da Playbook Experience.
      Figura 3. Configuração do Playbook
      Editar a configuração do playbook
    5. Navegue até a lista suspensa do campo Visibilidade de item pendente, selecione a opção desejada e salve o registro. Escolhas das seguintes opções:
      • Ocultar atividades pendentes: selecione esta opção para ocultar as atividades pendentes que você deseja ver na seção de playbook do espaço.
        Figura 4. Exemplo de phishing relatado pelo usuário
        Oculte atividades pendentes no playbook manual de phishing.
      • Mostrar fases e atividades pendentes: selecione esta opção para mostrar as fases e atividades pendentes que você gostaria de ver na seção de playbook do espaço.
        Figura 5. Mostrar atividades e fases pendentes
        Mostrar fases e atividades pendentes no playbook manual de phishing
      • Ocultar atividades e fases pendentes: selecione esta opção para ocultar as atividades e fases pendentes que você gostaria de ver na seção de playbook do espaço.
        Figura 6. Ocultar atividades e fases pendentes
        Ocultar atividades e fases pendentes no playbook manual de phishing
    6. Na seção Playbook, use a opção de filtro para filtrar as atividades por status do cartão do Playbook (definição de atividade).
      Figura 7. Status do cartão do Playbook
      Status do cartão do Playbook

    Adicionar Playbook

    Use esta seção para adicionar o playbook manualmente.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Espaço de trabalho do analista de segurança.
    2. Abra um registro de incidentes
    3. Clique em Adicionar Playbook.
      Adicionar um playbook manualmente
      A caixa de diálogo Adicionar Playbook é exibida.
      Adicionar playbook
    4. Selecione o modelo de playbook.
    5. Clique em Adicionar Playbook.
      Uma caixa de diálogo de mensagem de confirmação é exibida para você confirmar.
    6. Clique em Adicionar mesmo assim.
      Mensagem de confirmação
    7. O Playbook é adicionado ao lado da guia Detalhes.
      Mensagem de confirmação do playbook
    8. Clique na guia Playbook.
      Atividades do playbook
    9. Execute a série de atividades listada para passar para o próximo nível.
      Nota:
      Se um incidente de segurança estiver associado a um playbook, até que o playbook associado seja fechado ou cancelado, o usuário não poderá associar novamente o mesmo playbook ao mesmo incidente de segurança.