Automatisierte Antwort-Playbooks manuell erstellen

Prozedur

1. Navigieren Sie zu Workflow and Automation → Security Playbooks.
2. Wählen Sie auf der Registerkarte Playbooks Hinzufügen → Build manually aus.
3. Wählen Sie im Playbook Settings-Panel den XDR detection-Typ aus, geben Sie einen eindeutigen Namen für das Playbook an und klicken Sie auf Übernehmen.
4. Wählen Sie im Trigger Settings-Panel den Auslösetyp Automatic or manual (executed from Workbench) oder Manual (executed from Workbench) und klicken Sie auf Übernehmen.
   • Automatic or manual (executed from Workbench): Workbench-Warnungen lösen automatisch die Ausführung des Playbooks aus. Sie können die Ausführung des Playbooks auch manuell aus der Workbench auslösen.
     Wählen Sie Execute playbook automatically only during specified period und geben Sie die Tage und Zeiträume für die automatische Ausführung an.

     Hinweis Sie können maximal 10 Sätze von Tagen und Zeiträumen in Trigger Settings angeben.

   • Manual (executed from Workbench): Sie müssen die Ausführung des Playbooks manuell aus dem Workbench auslösen.
   Weitere Informationen darüber, wie die Ausführung des Playbooks aus dem Workbench ausgelöst werden kann, finden Sie unter Alle Warnungen und Warnungen in Workbench-Einblicken korreliert in der Workbench-Dokumentation.
5. Wählen und konfigurieren Sie im Target Settings-Panel das Ziel für das Playbook und klicken Sie auf Übernehmen.
   1. For Target, select Workbench alert.
   2. Select the Severity level of Workbench alerts that require further investigation.
      • Alle
      • Kritisch
      • Hoch
      • Med
      • Niedrig
   3. If you want playbook actions to trigger only for Workbench alerts associated with specific detection models, select Filter by detection models.
      1. Click Select Models.
      2. Select the detection models by which to filter Workbench alerts.

         Wichtig The severity of your selected models must match the severity of the target settings, otherwise the playbook might fail to run.

         Tipp You can use both predefined and custom detection models to filter Workbench alerts. Click Custom Models to select custom detection models.

      3. Click Move to Selected Detection Models.
      4. Click Save.
   4. If you want to set conditions based on the risk rating of highlighted objects in the Workbench alert, select Filter by highlighted object risk.
   5. If you want the playbook to open a case for the Workbench alert that meets the conditions, select Open a Workbench case, assign a maximum of 50 owners to the alert, and specify whether to automatically close the case when the playbook executes successfully.

      Wichtig Creating a case transfers all Workbench notes to the case. New notes can only be added to the case. If you want to sync the case to ServiceNow, refer to step 9 in Konfigurieren Sie ServiceNow ITSM, um TrendAI Vision One™ für das ServiceNow-Ticketsystem zu aktivieren. Alerts already associated with a case in Workbench will not trigger a new case creation. Instead, the playbook will update the existing case with the execution status and execution results. The playbook will not assign new owners to the existing case that already has owners.

   6. Click Apply.
6. Wenn Sie Maßnahmen ergreifen müssen, wenn bestimmte Bedingungen erfüllt sind, konfigurieren Sie den !!Condition!!-Knoten.
   1. Klicken Sie auf das Knoten hinzufügen () rechts neben dem Ziel-Knoten und klicken Sie auf !!Condition!!.
   2. Erstellen Sie eine Bedingungseinstellung, indem Sie Parameter, Operator und !!Value!! angeben.

      Einstellung	Beschreibung
      Parameter	Geben Sie eine der folgenden Optionen als Parameter an: Asset group Asset criticality Custom tags Endpunktname Endpunkttyp Highlighted object risk Hinweis Diese Option ist nur verfügbar, wenn Sie Filter by highlighted object risk im Knoten Ziel auswählen. IP-Adresse Wichtig Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion. Betriebssystem
      Operator	IS: Die Bedingung wird ausgelöst, wenn einer der Werte übereinstimmt IS NOT: Die Bedingung wird ausgelöst, wenn keiner der Werte übereinstimmt
      Wert	Geben Sie den Parameterwert an. Die Werte für Highlighted object risk werden wie folgt beschrieben: Äußerst verdächtig: Die Wahrscheinlichkeit, dass ein hervorgehobenes Objekt ein Fehlalarm ist, ist gering Verdächtig: Die Wahrscheinlichkeit, dass ein hervorgehobenes Objekt ein Fehlalarm ist, ist höher Nicht kategorisiert: Analyseergebnis außer Äußerst verdächtig und Verdächtig Weitere Informationen zu den Werten für IP-Adresse finden Sie in den Alarmdetails in der Workbench-App.

   3. Klicken Sie auf Übernehmen.
   4. Wenn Sie mehr als einen parallelen !!Condition!!-Knoten hinzufügen müssen, klicken Sie auf den Knoten hinzufügen () rechts neben dem Ziel-Knoten.
   5. Wenn Sie die Aktionseinstellungen für den !!Condition!!-Knoten konfigurieren müssen, fügen Sie einen Aktion-Knoten hinzu, indem Sie auf der rechten Seite auf Knoten hinzufügen () klicken.
      Weitere Informationen finden Sie unter Schritt ..
   6. Wenn Sie else-if-Bedingungen oder else-Aktionen konfigurieren müssen, fügen Sie einen Else-If Condition- oder Else Action-Knoten hinzu, indem Sie auf den Knoten hinzufügen () unter dem !!Condition!!-Knoten klicken.
      Weitere Informationen finden Sie in Schritt 9.
7. Konfigurieren Sie Aktionen, indem Sie einen Aktion-Knoten hinzufügen.
   1. Klicken Sie auf das Knoten hinzufügen () rechts neben dem !!Condition!!-Knoten und klicken Sie auf Aktion.
   2. Wählen Sie im Aktionseinstellungen-Panel Workbench alert aus und konfigurieren Sie die automatisierten Reaktionsmaßnahmen, die für die Objekte highly suspicious, suspicious und/oder unrated ergriffen werden.
      Antwortmaßnahmen erfordern, dass Sie die unterstützenden Dienste konfiguriert haben. Weitere Informationen finden Sie unter Antwortmaßnahmen.

      Einstellung	Beschreibung
      Allgemeine Aktionen	Zur Sperrliste hinzufügen: Fügt Objekte zur Liste „Benutzerdefinierte verdächtige Objekte“ hinzu
      E-Mail-Aktionen	Keine: Unternimmt keine Aktion für E-Mail-Nachrichten Nachricht löschen: Löscht Ziel-E-Mails aus erkannten Postfächern Nachricht in Quarantäne verschieben: Verschiebt Ziel-E-Mails in den Quarantäne-Ordner
      Dateiaktionen	Collect File: Komprimiert die Datei und sendet das Archiv an die Response Management-App Submit for Sandbox Analysis: Sendet die Datei zur Analyse an die Sandbox Analysis-App in einer virtuellen Sandbox-Umgebung Hinweis Diese Aktion erfordert Credits und die Konfiguration der Sandbox Analysis-App.
      URL-Aktionen	Submit for Sandbox Analysis: Sendet die URL zur Sandbox Analysis-App zur Analyse in einer virtuellen Sandbox-Umgebung Hinweis Diese Aktion erfordert Credits und die Konfiguration der Sandbox Analysis-App.
      Prozessaktionen	Terminate Process: Beendet den "Nicht kategorisiert" Zielprozess, der auf einem Endpunkt läuft Wichtig Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion.
      Benutzerkontoaktionen	Keine: Unternimmt keine Aktion für Benutzerkonten Benutzerkonto deaktivieren: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Benutzer können sich nicht in einer neuen Sitzung anmelden. Die Abmeldung erzwingen: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Benutzer werden nicht daran gehindert, sich sofort wieder in den geschlossenen Sitzungen oder in neuen Sitzungen anzumelden. Die Zurücksetzung des Kennworts erzwingen: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen ab und zwingt den Benutzer, beim nächsten Anmeldeversuch ein neues Passwort zu erstellen
      Container-Aktionen	Keine: Unternimmt keine Aktion für Container Isolate Container: Stoppt die Verbreitung von verdächtigem Verhalten innerhalb eines Containers, indem das enthaltene Produkt von der Umgebung isoliert wird Terminate Container: Beendet verdächtiges Verhalten von Containern innerhalb eines Pods, indem der Pod beendet wird
      Cloud-Kontohandlungen	Revoke Access Permission: Zugriffsberechtigungen von IAM-Benutzern mit möglicherweise kompromittierten AWS-Konten widerrufen Wichtig Diese Aktion ist nur für AWS-Konten verbinden mit der Funktion Cloud Response for AWS aktiviert verfügbar.
      Endpunktaktionen	Endpunkt isolieren: Trennt den Zielendpunkt vom Netzwerk, mit Ausnahme der Kommunikation mit dem verwaltenden TrendAI™-Serverprodukt Scan for Malware: Durchsucht einen oder mehrere verwaltete Endpunkte nach dateibasierten Bedrohungen wie Viren, Spyware und Grayware Wichtig Diese Aktion wird nur auf Endpunkten ausgeführt, die den TrendAI Vision One™ Endpoint Security Agent mit Standard Endpoint Protection installiert haben. Um die Aktion "DURCHSUCHEN nach Malware" erfolgreich auszuführen, muss der Endpunkt die folgenden Anforderungen erfüllen: Betriebssystem: Nur Windows oder macOS Mindestversion des installierten Agenten: 14.0.12962 für Windows und 3.5.7812 für macOS Endpunktstatus: Der Endpunkt muss ein verwalteter Endpunkt sein, der nicht auf der Ausschlussliste steht und darf keine aktive Durchsuchungsaufgabe in Bearbeitung haben. Run Remote Custom Script: Verbindet sich mit einem überwachten Endpunkt und führt eine zuvor hochgeladene PowerShell- oder Bash-Skriptdatei aus Um ein benutzerdefiniertes Skript auszuführen, führen Sie die folgenden Schritte aus: Wählen Sie einen Skript-Dateityp aus Dateityp. Laden Sie eine Skriptdatei von Ihrem lokalen Speicher hoch, indem Sie auf Upload File klicken. Wählen Sie dann Ihre Skriptdatei aus Datei aus. Für den Dateityp Bash Script (.sh) geben Sie das Betriebssystem an, bevor Sie Ihre Skriptdatei hochladen. Geben Sie die Parameter ein, wenn Ihr Skript eine zusätzliche Eingabe erfordert.

   3. Wählen Sie aus, ob eine Benachrichtigung gesendet werden soll, um eine manuelle Genehmigung zur Erstellung von Reaktionsmaßnahmen anzufordern.

      Wichtig Aktionen, die seit über 24 Stunden auf manuelle Genehmigung ausstehend sind, verfallen und können nicht ausgeführt werden.

   4. Wenn Sie eine manuelle Genehmigung benötigen, konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Benachrichtigungsmethode	E-Mail: Sendet eine E-Mail-Benachrichtigung an die angegebenen Empfänger Webhook: Sendet eine Benachrichtigung an die angegebenen Webhook-Kanäle
      Betreff-Präfix	Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger	Die E-Mail-Adressen der Empfänger Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook	Die Webhook-Kanäle zum Empfangen von Benachrichtigungen Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen. Tipp To add a webhook connection, click Create channel.

   5. Klicken Sie auf Übernehmen.
   6. If you need to add more than one parallel action, click on the right of the Target or Condition node.
8. Configure notification settings by adding an Action node.
   1. Click the add node () on the right of the preceding node and click Action.
   2. Geben Sie im Aktionseinstellungen-Panel an, wie die Empfänger über die Ergebnisse des Playbooks benachrichtigt werden sollen.
   3. Für E-Mail- und Webhook-Benachrichtigungen konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Betreff-Präfix	Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger	Die E-Mail-Adressen der Empfänger Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook	Die Webhook-Kanäle zum Empfangen von Benachrichtigungen Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen. Tipp To add a webhook connection, click Create channel.

   4. Für ServiceNow-Ticketbenachrichtigungen konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Ticketprofil	Das zu verwendende ServiceNow-Ticketprofil Tipp If you need to add a ticket profile, click Create ticket profile.
      Einstellungen des Ticketprofils	Die Ticketprofileinstellungen für das Playbook Das Auswählen eines Ticketprofils lädt automatisch die Einstellungen. Das Ändern der Einstellungen überschreibt das Ticketprofil für das Playbook. Assignment group: Die ServiceNow-Zuweisungsgruppe, der Sie das Ticket zuweisen möchten Assigned to: Der ServiceNow-Benutzer, dem Sie das Ticket zuweisen möchten Short description: Eine kurze Beschreibung des Tickets, die in ServiceNow angezeigt wird

   5. Wenn Sie eine manuelle Genehmigung für das Senden von Playbook-Ergebnissen benötigen, folgen Sie Schritt 7.d, um die Benachrichtigungseinstellungen zu konfigurieren.

      Hinweis Diese Einstellung ist nur für die Ticketbenachrichtigungsaktion verfügbar.

   6. Klicken Sie auf Übernehmen.
9. Konfigurieren Sie Else-If Conditions oder Else Actions bei Bedarf.
   1. Klicken Sie auf das Hinzufügen-Symbol () unter dem !!Condition!!-Knoten und klicken Sie auf Else-If Condition oder Else Action.
   2. Konfigurieren Sie einen Bedingungsknoten, indem Sie Schritt 6 folgen, oder konfigurieren Sie einen Aktionsknoten, indem Sie Schritt 7 oder Schritt 8 folgen.
   • Which nodes you can add () varies depending on the preceding node. For example, an Action node can only be possibly followed by another Action node; a Condition node can be followed by an Action node or have an Else-If Condition or Else Action attached to it.
   • Wenn eine Bedingung falsch ist, führt das Playbook die Else Action aus oder überprüft, ob die Else-If Condition erfüllt ist. Wenn die Else-If Condition erfüllt ist, setzt das Playbook die entsprechende Else Action fort.
   • Mehrere Aktion-Knoten, die im seriellen Modus konfiguriert sind, werden nacheinander verarbeitet.
10. Aktivieren Sie das Playbook, indem Sie die Steuerung Aktivieren einschalten.
11. Klicken Sie auf Save.
    Das Playbook erscheint auf der Playbooks-Registerkarte in der Security Playbooks-App.