Resolver ameaças à segurança com o playbook

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

8 min. de leitura

Use o Playbook para resolver determinados tipos de ameaças à segurança passo a passo. Por exemplo, você pode resolver ataques de phishing e ameaças causados por atividade de código mal-intencionado usando playbooks.

Antes de Iniciar

Função necessária: sn_si.admin ou administrador

Por Que e Quando Desempenhar Esta Tarefa

Cada grupo de tarefas (Análise, Contenção e assim por diante) orienta você em uma série de perguntas e outras atividades para resolver a ameaça.

Exemplo de playbook — Figura 1. Playbook

Conforme você trabalha em cada tarefa, insira anotações de trabalho para ajudar a analisar ataques semelhantes no futuro. Depois que uma ameaça é identificada, você também pode usar as informações no playbook para colocar a ameaça em quarentena, isolar ativos afetados de forma semelhante e remover malware.

Os artigos de conhecimento, incluídos em cada tarefa, fornecem dicas e outras informações para ajudá-lo a executar as etapas necessárias.

Artigo de conhecimento de suporte à tarefa de phishing — Figura 2. Artigos de conhecimento

O sistema de base inclui artigos de conhecimento para cada uma das tarefas do playbook. Você pode, no entanto, escrever seus próprios artigos de conhecimento e associá-los a tarefas do playbook.

Nota:

Para obter um exemplo de como usar o playbook para analisar e resolver uma ameaça específica, consulte Como resolver ataques de phishing relatados por usuários com o playbook.

Procedimento

Navegar até Todos > Incidente de segurança > Incidentes (Nova IU).
A tela Incidentes de segurança mostra os incidentes de segurança que foram atribuídos a você.
Você pode clicar na lista de seleção Atribuído a mim para selecionar um filtro diferente, como todos os incidentes em aberto ou todos os incidentes não atribuídos.
Como alternativa, você pode clicar em um dos Filtros rápidos para exibir incidentes de segurança de um tipo específico, como somente Incidentes críticos.
Clique no incidente de segurança que você deseja analisar.

Considere priorizar incidentes de segurança com pontuações de alto risco.
Se o painel do playbook na borda direita da tela estiver fechado, clique no ícone do playbook ( ) para abri-lo.
Se nenhum playbook estiver atribuído ao incidente de segurança, você poderá selecionar um playbook na lista de seleção Playbook selecionado, conforme mostrado abaixo:

Você também pode atribuir um playbook diferente ao incidente de segurança. Para incluir um playbook na lista de seleção Playbook selecionado ou para mudar o playbook de um incidente de segurança, consulte Habilitar playbooks para seleção de analista para obter detalhes.

O playbook específico para o tipo de ameaça à segurança é aberto. Ele é dividido em categorias de tarefas semelhantes. Por exemplo, você usa as tarefas no grupo Análise para determinar a validade e o escopo da ameaça. O grupo Conter inclui tarefas para isolar a ameaça a um usuário ou ativo específico. As tarefas no grupo Erradicar orientam você no processo de remoção do malware ou na recriação da imagem do host.
Clique no primeiro grupo (Análise) e, em seguida, clique na primeira tarefa no playbook.
Siga os avisos na tarefa.
- Algumas tarefas fazem uma pergunta, como "O e-mail faz parte da campanha?" Execute a análise necessária para responder à pergunta e selecione Sim ou Não.
- Se você definiu artigos de conhecimento e os associou a tarefas do playbook, os artigos serão exibidos quando você começar a trabalhar em uma tarefa.
- Algumas tarefas são transitórias. Eles simplesmente instruem você a executar uma ação, como adicionar observáveis a um incidente de segurança. Depois de concluir a ação, clique em Marcar como Concluída.
Conforme você conclui as tarefas, as tarefas subsequentes são apresentadas a você com base nas escolhas que você faz. Grupos esmaecidos (como Recuperar, Revisare assim por diante) podem ser ativados por suas escolhas.
Continue trabalhando em cada tarefa apresentada até concluir todas as tarefas para resolver a ameaça e encerrar o incidente de segurança.

Como resolver ataques de phishing relatados por usuários com o playbook

O playbook de phishing orienta você nas tarefas necessárias para analisar e resolver um ataque de phishing relatado por um dos funcionários da sua empresa.

Como os incidentes de segurança são criados a partir de ataques de phishing relatados pelo usuário

Durante a configuração do Security Incident Response, o administrador do sistema cria uma série de regras de correspondência de e-mail que podem identificar e-mails que contêm sinais de um ataque de phishing. Quando os funcionários recebem um e-mail suspeito que contém os sinais comuns de um ataque de phishing (conforme definido por suas políticas de segurança), eles podem enviá-lo como um anexo .EML para o endereço de e-mail de phishing definido por sua organização.

Quando o e-mail é recebido no endereço de e-mail de phishing, o anexo .EML é analisado e suas informações são comparadas com as regras de correspondência de e-mail. Se uma correspondência for encontrada, um incidente de segurança contendo as seguintes informações será criado:

A descrição resumida inclui o phishing relatado pelo usuário, seguido pelo assunto real do e-mail de origem.
O arquivo .EML está anexado ao incidente de segurança.
Se o .EML contiver observáveis, eles serão analisados e as pesquisas de aprimoramento e ameaça serão realizadas automaticamente.

Incidente de segurança de phishing relatado pelo usuário — Figura 3. Phishing relatado pelo usuário

Quando um incidente de segurança da categoria de phishing é aberto, o Playbook de phishing fica disponível automaticamente. Basta clicar no ícone do playbook (

) para abrir o playbook.

Painel do playbook de phishing — Figura 4. Playbook de phishing

O playbook de phishing contém tarefas para ajudá-lo a analisar, conter e erradicar uma ameaça de phishing. As tarefas são organizadas em estados (por exemplo, Análise, Contere assim por diante). Quando todas as tarefas de um estado forem concluídas, o playbook orientará você para o próximo estado.

Analisar detalhes do incidente de segurança

Quando o incidente de segurança está no estado Análise, você recebe tarefas para executar a investigação básica do incidente, incluindo:

Determinar a validade do incidente.
Estude o impacto da possível ameaça.
Coordenar uma resposta eficaz ao incidente.

Conforme você trabalha nas tarefas:

Familiarize-se com os artigos de conhecimento.
Abra o anexo de e-mail e examine-o quanto a sinais de elementos de phishing comuns.
Revise os resultados da pesquisa de ameaças.

Contendo o incidente de segurança

Quando o incidente de segurança está no estado Conter, você recebe tarefas para revisar os detalhes do e-mail. Para garantir que as ameaças não possam entrar na sua organização, atualize as defesas de rede, na forma de assinaturas e regras do Sistema de defesa contra intrusão (IDS) e do Sistema de prevenção de intrusão (IPS).

Conforme você trabalha nas tarefas:

Tome medidas para limitar os impactos da ameaça, como isolar os dispositivos afetados.
Examine os observáveis anexados ao e-mail.
Determine se algum conteúdo de e-mail está associado a uma ameaça conhecida, incluindo:
- URL
- Remetente do e-mail
- URL de phishing
- Endereço IP do servidor SMTP do remetente

Como erradicar o malware

Depois de implantar assinaturas e regras atualizadas na solução antivírus, use as tarefas no estado Erradicar para determinar se há malware presente e trate-o de acordo.

Conforme você trabalha nas tarefas:

Verifique os endpoints dos dispositivos afetados quanto à presença de malware.
Remova qualquer malware encontrado.
Como último recurso, limpe e crie novamente a imagem dos dispositivos host.

Revisão do incidente de segurança

Se você determinou que um ataque de phishing foi um alarme falso ao executar as tarefas de análise, o incidente de segurança será movido para o estado Revisão e você precisará notificar os usuários para que eles saibam que é seguro abrir o anexo de e-mail.

Fechando o incidente de segurança

Quando todas as tarefas no playbook forem concluídas, o incidente de segurança será movido para o estado Encerrado. Você deve inserir comentários de encerramento antes que o incidente possa ser encerrado.

Como cancelar um incidente de segurança

Quando um incidente de segurança está no estado Revisão e você informou com sucesso aos usuários que o e-mail não é uma ameaça, o estado Cancelado se torna ativo e você pode cancelar o incidente de segurança.

Nota:

A tarefa de recuperação não é usada no playbook de phishing.

Como associar um artigo de conhecimento a uma tarefa do playbook

Ao analisar as ameaças à segurança usando o playbook Security Incident Response, você pode exibir artigos de conhecimento para cada tarefa, se definida pela sua organização. Se os artigos de conhecimento não estiverem presentes, você poderá criá-los e associá-los a tarefas do playbook.

Antes de Iniciar

Ao usar o playbook em Security Incident Response, anote o texto associado a cada tarefa. Por exemplo, a primeira tarefa na categoria Phishing é O alerta foi enviado pelo funcionário? Esta é a descrição resumida da tarefa e você precisa deste texto (exatamente como aparece no playbook) para associar um artigo de conhecimento à tarefa.

Função necessária: sn_sir.knowledge_admin e sn_si.admin ou admin

Procedimento

Navegar até Todos > Incidente de segurança > Catálogo e Conhecimento > Conhecimento.
Crie e publique um artigo de conhecimento para uma tarefa específica do playbook.
Navegar até Incidente de segurança > Runbook manual > Criar novo runbook.

Crie um runbook, preenchendo as seguintes informações:


Campo	Descrição
Artigo de conhecimento	Selecione o artigo de conhecimento publicado que você deseja associar à tarefa do playbook.
Tabela	Selecione Security Incident Response Tarefa [sn_si_task].
Condição	Defina o Construtor de condições como: Opção: selecione Descrição resumida. Operador:selecione é. Valor de entrada: insira a descrição resumida da tarefa, exatamente como ela aparece no playbook.

Clique em Enviar.
Na próxima vez que você executar o playbook e selecionar esta tarefa, o artigo de conhecimento associado será exibido.

Adicionar uma tarefa personalizada ao playbook

O sistema de base Espaço do analista de segurança inclui uma série de tarefas para cada categoria de ameaça. Você pode criar tarefas personalizadas que atendam às necessidades exclusivas do seu sistema ou dos clientes.

Antes de Iniciar

Função necessária: sn_si.basic ou security_admin

Procedimento

Com o playbook aberto, clique em Adicionar tarefa.

A tela Adicionar tarefa personalizada é aberta.

Preencha os campos conforme necessário.


Campo	Descrição
Número	[Somente leitura] O número da tarefa de incidente de segurança gerado automaticamente.
Primário	O número do incidente de segurança relacionado.
Item de configuração	O item de configuração afetado pelo problema de segurança, se houver.
Usuário afetado	O usuário afetado pelo problema de segurança, se houver.
Prioridade	Selecione a prioridade usada para determinar quando esta tarefa deve ser executada.
Estado do Incidente de segurança	O estado atual da tarefa de resposta de segurança. Você pode selecionar um estado futuro, se necessário.
Tipo de resultado	Se você tiver a função sn_si.basic, selecione Sim/Não como o tipo de resultado. Se você tiver a função security_admin, poderá criar um tipo de resultado personalizado com vários valores de saída personalizados. Por exemplo, você pode definir uma tarefa com valores dependentes com base na categoria de ameaça. Para obter mais informações, consulte Listasde seleção
Grupo de atribuição	O grupo de atribuição do qual o trabalhador atribuído será selecionado.
Atribuído a	O indivíduo atribuído para executar a tarefa.
Descrição resumida	Uma descrição da tarefa do playbook de incidente de segurança.
Descrição	Insira uma descrição para a tarefa selecionada.

Ao concluir suas entradas, clique em Adicionar tarefa.
A tarefa é inserida no playbook após a tarefa atual.