Executar o fluxo automatizado do playbook de malware

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura

    • Use este fluxo para automatizar tarefas no playbook para analisar e resolver ataques de malware contra sua organização.

    Antes de Iniciar

    • Função necessária: sn_si.admin, flow_designer e action_designer
    • Instale e configure as seguintes integrações com as credenciais corretas:
      • Palo Alto Networks WildFire for Security Operations
      • Pesquisa de detecções (Splunk)
      • Bloquear solicitações
      • Pesquisa de ameaças
      • Aprimorar observáveis

      Verifique se essas integrações estão funcionando corretamente antes de ativar o modelo de playbook de incidente de segurança - Automated Malware.

    • Aplicativo Security Operations Palo Alto Networks WildFire: para acessar o fluxo do playbook automatizado de malware, você deve instalar o Spoke do Security Operations e o aplicativo Security Operations Palo Alto Networks - WildFire a partir do ServiceNow Store. Se o aplicativo Security Operations Palo Alto Networks WildFire não estiver instalado, você verá um erro "Fluxo de trabalho na ação número 15.4.1 não encontrado", conforme mostrado abaixo:

      Mensagem de erro da aplicação Palo Alto Networks WildFire

      Se você não quiser instalar este aplicativo, exclua as etapas 15.2, 15.3 e 15.4 do fluxo do playbook de malware automatizado.

    • Certifique-se de que as seguintes condições tenham sido atendidas:
      • O incidente de segurança foi atribuído a um analista de segurança que pertence ao grupo de aprovação apropriado.
      • O analista de segurança que lida com o incidente deve ter um endereço de e-mail válido.
      • Os itens de configuração e observáveis necessários foram adicionados ao incidente de segurança.
    • Para a etapa 21 (Pedir aprovação), altere o Grupo de Atribuição de incidente de segurança para o seu grupo preferencial.
    • A etapa 21 do fluxo é uma etapa de aprovação de tarefa obrigatória em que uma solicitação de aprovação é enviada ao administrador. Para aprovar a solicitação, o administrador deve navegar até a página Aprovações de tarefa e definir o campo Estado como Aprovado. Se a tarefa não for aprovada, o Flow Designer não poderá prosseguir e o processo será encerrado.

    Por Que e Quando Desempenhar Esta Tarefa

    Quando uma atividade de código mal-intencionado é detectada na rede, um incidente de segurança é criado e o fluxo automatizado do playbook de malware é iniciado. Você pode usar as tarefas definidas no fluxo do playbook automatizado de malware para fazer a triagem, analisar, conter e erradicar a ameaça.

    Procedimento

    1. Navegar até Tudo > Flow Designer > Designer para exibir os fluxos disponíveis com o spoke das Operações de segurança.
    2. Clique no link Incidente de segurança - Automated Malware Playbook Template VI.
    3. Na página Fluxo, clique no ícone mais ícone Mais, faça uma cópia do fluxo e abra-o para uso.
      Agora você pode fazer mudanças no fluxo, como modificar condições ou ações do gatilho, ou adicionar e remover ações.Modelo de playbook de malware automatizado

      Mostra o gatilho e as etapas que serão executadas com o fluxo. O painel direito mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.

    4. Clique no ícone do gatilho.
      Na primeira etapa, você define ou define o gatilho do fluxo. Especifique as condições para o gatilho e a tarefa a serem executadas quando as condições forem atendidas.Fluxo do playbook de malware automatizado: gatilho

      Quando a condição definida no fluxo (Categoria é a atividade Código malicioso) é atendida no registro do incidente, as tarefas no fluxo de phishing automatizado começam a ser executadas sequencialmente. Você pode modificar o gatilho, adicionar anotações, adicionar ou excluir condições e assim por diante.

    5. A primeira etapa no fluxo é Atualizar registro de incidente de segurança.
      Fluxo do playbook de malware automatizado: etapa 1

      Clique no link e clique no ícone de anotação Ícone de anotação para adicionar uma anotação ao analista de segurança indicando que houve alguma atividade de código mal-intencionado e que o fluxo do playbook de resposta automatizada a malware começou a ser executado.

    6. Prossiga com a etapa 2 no fluxo e clique no link Criar tarefa.

      Nesta etapa, uma tarefa de resposta automatizada é criada para verificar se todos os observáveis necessários foram capturados e se a investigação pode começar.

      Fluxo do playbook de malware automatizado: etapa 2

    7. Se o Tipo de resultado for Não, isso indica que não há observáveis e ICs disponíveis para iniciar a investigação.
      Atualize o registro do incidente de segurança para indicar que o playbook não pode prosseguir.
    8. Se o Tipo de resultado for Sim, o subfluxo Definir gravidade do incidente atribuirá automaticamente a gravidade correta ao incidente de segurança.
    9. Na próxima etapa, o registro do incidente de segurança é atualizado.
    10. Na próxima etapa, todos os observáveis envolvidos no incidente ou em uma categoria selecionada são coletados para executar ações automatizadas adicionais nas etapas subsequentes do playbook.
    11. Na próxima etapa, uma tarefa de resposta automatizada será criada.
      Esta tarefa captura o início do processo para obter a reputação de todos os observáveis e executar o enriquecimento com integrações configuradas.
    12. Na etapa 8, dois subfluxos são chamados:
      • Executar pesquisas de ameaças para observáveis: este subfluxo é usado para obter a reputação de todos os observáveis usando implementações de pesquisa de ameaças.
      • Aprimorar observáveis: este subfluxo é usado para realizar o enriquecimento de observáveis com implementações configuradas.

      Fluxo do playbook de malware automatizado: etapa 8

      Observe os ícones para esta tarefa. O ícone de operações paralelas O ícone de operações paralelas indica que ambas as tarefas serão executadas em paralelo e o ícone de subfluxo ícone de subfluxo indica que a tarefa que está sendo executada é um subfluxo, conforme mostrado abaixo:

      Fluxo do playbook de malware automatizado: etapa 8.1.1

      Observe o número 5 no campo de observáveis. Isso indica que a pesquisa de ameaças será executada em observáveis recuperados na etapa 5. Este subfluxo, por sua vez, chama fluxos de trabalho e ações existentes.

    13. Na próxima etapa, a ação Executar a pesquisa de registros é executada.
      Esta ação é usada para pesquisar registros de contexto de fluxo de trabalho em que os fluxos de trabalho primários podem ser um dos seguintes.
      • Contexto de fluxo de trabalho abstrato de Pesquisa de ameaças
      • Contexto de Fluxo de Trabalho Abstrato de Aprimoramento de Observável
    14. Na próxima etapa, os resultados de reputação e enriquecimento são revisados para cada 8 registros.
    15. Continue revisando as próximas etapas:
      1. Atualizar registro de incidente de segurança: atualiza o registro de incidente de segurança para indicar que as atividades de enriquecimento e pesquisa de reputação foram concluídas.
      2. Obter observáveis da tarefa: recupera todos os observáveis maliciosos associados ao incidente de segurança.
      3. Criar tarefa: verifica e confirma se as execuções de triagem automatizadas foram bem-sucedidas.
    16. Se houver observáveis que foram sinalizados como mal-intencionados:
      1. Atualizar registro de incidente de segurança: publique uma anotação de trabalho indicando que uma ameaça foi detectada.
      2. Criar consulta de entrada a partir de observáveis: se mais de dez observáveis tiverem sido sinalizados como mal-intencionados, a Pesquisa de detecções no subfluxo de observáveis (em Splunk ou Carbon Black) será executada.
    17. Se os observáveis não forem sinalizados como mal-intencionados, o fluxo continuará com as seguintes etapas:
      1. Atualizar registro de incidente de segurança: publique uma anotação de trabalho indicando que nenhuma ameaça foi detectada
      2. Obter observáveis da tarefa: identifica todos os IDs de hash SHA256 do incidente.
      3. Pesquisar registros observáveis: pesquisa registros que atendem a esses critérios.
    18. Continue revisando as próximas etapas:
      1. Para cada observável mal-intencionado, o fluxo de trabalho Operações de segurança Palo Alto Networks - Obter aprimoramento de dados do Wildfire é executado.
      2. Revisa os resultados da investigação para ver se eles são satisfatórios.
        Uma tarefa de resposta é criada para verificar se o malware suspeito é um ataque de ransomware. Em caso afirmativo, o subfluxo do Playbook de Ransomware será executado.
      3. Na próxima etapa, um e-mail é enviado com um resumo da análise e a solicitação de aprovação para iniciar os procedimentos de contenção.
      4. Uma tarefa é criada para capturar detalhes da aprovação solicitada.
      5. A próxima etapa é atualizar o registro do incidente de segurança.
        Publique uma anotação de trabalho informando ao analista de segurança que a solicitação de aprovação foi feita.
      6. Solicita aprovação para conter os ataques de malware do seu gerente de SOC.
        Etapa 21
        Nota:
        Quando uma solicitação de aprovação for gerada pelo fluxo, a Anotação de trabalho será atualizada com a seguinte mensagem:
        Uma solicitação de aprovação foi feita para<task id> continuando com a contenção. Para aprovar esta tarefa, como gerente do SOC, siga estas etapas manualmente:
        • Navegue até a página Aprovações de tarefa.
        • Você verá a lista de aprovações. Clique em<task id> que será aprovado.
        • Mude o estado para Aprovar e Salvar o atualizado<task id> .
      7. Na próxima etapa, o registro do incidente de segurança é atualizado para rastrear o status de aprovação.
      8. Em seguida, uma tarefa é criada para iniciar procedimentos de contenção.
      9. O subfluxo Executar o Criar solicitações de bloqueio para observáveis maliciosos é executado e um registro de incidente é criado com uma solicitação para recriar o dispositivo infectado e seus ativos.
      10. Em seguida, uma tarefa é criada para executar a pesquisa de detecções para confirmar se o ambiente é seguro.
        A pesquisa de detecções é repetida até que nenhuma detecção seja encontrada.
      11. Em seguida, uma tarefa é criada para indicar que o registro do incidente de segurança está pronto para revisão.
      12. Por fim, o registro é atualizado e movido para a fase Revisão.

    O que Fazer Depois

    Você pode clicar em Testar para simular as ações no fluxo antes que ele seja publicado. Depois de testar o fluxo, clique em Ativar para ativar o fluxo para que ele possa ser executado.

    Clique em Execuções para exibir os detalhes de execução do fluxo.

    Fluxo do playbook de malware automatizado: execução