Automatisierte Antwort-Playbooks erstellen

Prozedur

1. Navigieren Sie zu Workflow and Automation → Security Playbooks.
2. Wählen Sie auf der Registerkarte Playbooks Hinzufügen → Create playbook aus.
3. Wählen Sie im Playbook Settings-Panel den XDR detection-Typ aus, geben Sie einen eindeutigen Namen für das Playbook an und klicken Sie auf Übernehmen.
4. Wählen Sie im Trigger Settings-Panel den Auslösetyp Automatic or manual (executed from Workbench) oder Manual (executed from Workbench) und klicken Sie auf Übernehmen.
   • Automatic or manual (executed from Workbench): Workbench-Warnungen lösen automatisch die Ausführung des Playbooks aus. Sie können die Ausführung des Playbooks auch manuell aus der Workbench auslösen.
     Wählen Sie Execute playbook automatically only during specified period und geben Sie die Tage und Zeiträume für die automatische Ausführung an.

     Hinweis Sie können maximal 10 Sätze von Tagen und Zeiträumen in Trigger Settings angeben.

   • Manual (executed from Workbench): Sie müssen die Ausführung des Playbooks manuell aus dem Workbench auslösen.
   Weitere Informationen darüber, wie die Ausführung des Playbooks aus dem Workbench ausgelöst werden kann, finden Sie unter Alle Warnungen und Workbench-Einblicke Warnungen in der Workbench-Dokumentation.
5. Wählen und konfigurieren Sie im Target Settings-Panel das Ziel für das Playbook und klicken Sie auf Übernehmen.
   1. Wählen Sie im Listenfeld Ziel die Option Workbench alert aus.
   2. Wählen Sie in der Schweregrad-Dropdown-Liste den Schweregrad der Workbench-Warnungen aus, die eine weitere Untersuchung erfordern.
   3. Wenn Sie möchten, dass Playbook-Aktionen nur für Workbench-Warnungen ausgelöst werden, die mit bestimmten Erkennungsmodellen verknüpft sind, wählen Sie Filter by detection models.
      1. Klicken Sie auf Select Models.
      2. Wählen Sie die Erkennungsmodelle aus, nach denen Workbench-Warnungen gefiltert werden sollen.

         Wichtig Die Schweregrade Ihrer ausgewählten Modelle müssen mit den Schweregraden der Zielvorgaben übereinstimmen, andernfalls könnte das Playbook möglicherweise nicht ausgeführt werden.

         Tipp Sie können sowohl vordefinierte als auch benutzerdefinierte Erkennungsmodelle verwenden, um Workbench-Warnungen zu filtern. Klicken Sie auf Custom Models, um benutzerdefinierte Erkennungsmodelle auszuwählen.

      3. Klicken Sie auf Move to Selected Detection Models.
      4. Klicken Sie auf Save.
   4. Wenn Sie Bedingungen basierend auf der Risikobewertung der hervorgehobenen Objekte im Workbench-Alarm festlegen möchten, wählen Sie Filter by highlighted object risk.
   5. Wenn Sie möchten, dass das Playbook einen Fall für den Workbench-Alarm öffnet, der die Bedingungen erfüllt, wählen Sie Open a Workbench case, weisen Sie dem Alarm maximal 50 Besitzer zu und legen Sie fest, ob der Fall automatisch geschlossen werden soll, wenn das Playbook erfolgreich ausgeführt wird.

      Wichtig Durch das Erstellen eines Falls werden alle Workbench-Notizen in den Fall übertragen. Neue Notizen können nur dem Fall hinzugefügt werden. Wenn Sie den Fall mit ServiceNow synchronisieren möchten, lesen Sie Schritt 9 in Konfigurieren Sie ServiceNow ITSM, um Trend Vision One für das ServiceNow-Ticketsystem zu aktivieren. Warnmeldungen, die bereits mit einem Fall in Workbench verknüpft sind, lösen keine neue Fallerstellung aus. Stattdessen wird das Playbook den bestehenden Fall mit dem Ausführungsstatus und den Ausführungsergebnissen aktualisieren. Das Playbook wird keine neuen Besitzer zu einem bestehenden Fall zuweisen, der bereits Besitzer hat.

   6. Klicken Sie auf Übernehmen.
6. Wenn Sie Maßnahmen ergreifen müssen, wenn bestimmte Bedingungen erfüllt sind, konfigurieren Sie den !!Condition!!-Knoten.
   1. Klicken Sie auf das Knoten hinzufügen () rechts neben dem Ziel-Knoten und klicken Sie auf !!Condition!!.
   2. Erstellen Sie eine Bedingungseinstellung, indem Sie Parameter, Operator und !!Value!! angeben.

      Einstellung	Beschreibung
      Parameter	Geben Sie eine der folgenden Optionen als Parameter an: Asset group Asset criticality Custom tags Endpunktname Endpunkttyp Highlighted object risk Hinweis Diese Option ist nur verfügbar, wenn Sie Filter by highlighted object risk im Knoten Ziel auswählen. IP-Adresse Wichtig Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion. Betriebssystem
      Operator	IS: Die Bedingung wird ausgelöst, wenn einer der Werte übereinstimmt IS NOT: Die Bedingung wird ausgelöst, wenn keiner der Werte übereinstimmt
      Wert	Geben Sie den Parameterwert an. Die Werte für Highlighted object risk werden wie folgt beschrieben: Äußerst verdächtig: Die Wahrscheinlichkeit, dass ein hervorgehobenes Objekt ein Fehlalarm ist, ist gering Verdächtig: Die Wahrscheinlichkeit, dass ein hervorgehobenes Objekt ein Fehlalarm ist, ist höher Nicht kategorisiert: Analyseergebnis außer Äußerst verdächtig und Verdächtig Weitere Informationen zu den Werten für IP-Adresse finden Sie in den Alarmdetails in der Workbench-App.

   3. Klicken Sie auf Übernehmen.
   4. Wenn Sie mehr als einen parallelen !!Condition!!-Knoten hinzufügen müssen, klicken Sie auf den Knoten hinzufügen () rechts neben dem Ziel-Knoten.
   5. Wenn Sie die Aktionseinstellungen für den !!Condition!!-Knoten konfigurieren müssen, fügen Sie einen Aktion-Knoten hinzu, indem Sie auf der rechten Seite auf Knoten hinzufügen () klicken.
      Weitere Informationen finden Sie unter Schritt 7.
   6. Wenn Sie else-if-Bedingungen oder else-Aktionen konfigurieren müssen, fügen Sie einen Else-If Condition- oder Else Action-Knoten hinzu, indem Sie auf den Knoten hinzufügen () unter dem !!Condition!!-Knoten klicken.
      Weitere Informationen finden Sie in Schritt 9.
7. Konfigurieren Sie Aktionen, indem Sie einen Aktion-Knoten hinzufügen.
   1. Klicken Sie auf das Knoten hinzufügen () rechts neben dem !!Condition!!-Knoten und klicken Sie auf Aktion.
   2. Wählen Sie im Aktionseinstellungen-Panel Workbench alert aus und konfigurieren Sie die automatisierten Reaktionsmaßnahmen, die für die Objekte highly suspicious, suspicious und/oder unrated ergriffen werden.
      Antwortmaßnahmen erfordern, dass Sie die unterstützenden Dienste konfiguriert haben. Weitere Informationen finden Sie unter Antwortmaßnahmen.

      Einstellung	Beschreibung
      Allgemeine Aktionen	Zur Sperrliste hinzufügen: Fügt Objekte zur Liste „Benutzerdefinierte verdächtige Objekte“ hinzu
      E-Mail-Aktionen	Keine: Unternimmt keine Aktion für E-Mail-Nachrichten Nachricht löschen: Löscht Ziel-E-Mails aus erkannten Postfächern Nachricht in Quarantäne verschieben: Verschiebt Ziel-E-Mails in den Quarantäne-Ordner
      Dateiaktionen	Collect File: Komprimiert die Datei und sendet das Archiv an die Response Management-App Submit for Sandbox Analysis: Sendet die Datei zur Analyse an die Sandbox Analysis-App in einer virtuellen Sandbox-Umgebung Hinweis Diese Aktion erfordert die Zuweisung von Credits und die Konfiguration der Sandbox Analysis-App.
      URL-Aktionen	Submit for Sandbox Analysis: Sendet die URL zur Sandbox Analysis-App zur Analyse in einer virtuellen Sandbox-Umgebung Hinweis Diese Aktion erfordert die Zuweisung von Credits und die Konfiguration der Sandbox Analysis-App.
      Prozessaktionen	Terminate Process: Beendet den "Nicht kategorisiert" Zielprozess, der auf einem Endpunkt läuft Wichtig Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion.
      Benutzerkontoaktionen	Keine: Unternimmt keine Aktion für Benutzerkonten Benutzerkonto deaktivieren: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Benutzer können sich nicht in einer neuen Sitzung anmelden. Die Abmeldung erzwingen: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Benutzer werden nicht daran gehindert, sich sofort wieder in den geschlossenen Sitzungen oder in neuen Sitzungen anzumelden. Die Zurücksetzung des Kennworts erzwingen: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen ab und zwingt den Benutzer, beim nächsten Anmeldeversuch ein neues Passwort zu erstellen
      Container-Aktionen	Keine: Unternimmt keine Aktion für Container Isolate Container: Stoppt die Verbreitung von verdächtigem Verhalten innerhalb eines Containers, indem das enthaltene Produkt von der Umgebung isoliert wird Terminate Container: Beendet verdächtiges Verhalten von Containern innerhalb eines Pods, indem der Pod beendet wird
      Cloud-Kontohandlungen	Revoke Access Permission: Zugriffsberechtigungen von IAM-Benutzern mit möglicherweise kompromittierten AWS-Konten widerrufen Wichtig Diese Aktion ist nur für AWS-Konten mit der Funktion Cloud Response for AWS aktiviert verfügbar.
      Endpunktaktionen	Endpunkt isolieren: Trennt den Zielendpunkt vom Netzwerk, mit Ausnahme der Kommunikation mit dem verwaltenden Trend Micro-Serverprodukt Scan for Malware: Durchsucht einen oder mehrere verwaltete Endpunkte nach dateibasierten Bedrohungen wie Viren, Spyware und Grayware Wichtig Diese Aktion wird nur auf Endpunkten ausgeführt, die den Trend Vision One Endpoint Security Agent mit Standard Endpoint Protection installiert haben. Um die Aktion "DURCHSUCHEN nach Malware" erfolgreich auszuführen, muss der Endpunkt die folgenden Anforderungen erfüllen: Betriebssystem: Nur Windows oder macOS Mindestversion des installierten Agenten: 14.0.12962 für Windows und 3.5.7812 für macOS Endpunktstatus: Der Endpunkt muss ein verwalteter Endpunkt sein, der nicht auf der Ausschlussliste steht und darf keine aktive Durchsuchungsaufgabe in Bearbeitung haben. Run Remote Custom Script: Verbindet sich mit einem überwachten Endpunkt und führt eine zuvor hochgeladene PowerShell- oder Bash-Skriptdatei aus Um ein benutzerdefiniertes Skript auszuführen, führen Sie die folgenden Schritte aus: Wählen Sie in der Dropdown-Liste Dateityp einen Skriptdateityp. Laden Sie eine Skriptdatei von Ihrem lokalen Speicher hoch, indem Sie auf Upload File klicken. Wählen Sie dann Ihre Skriptdatei aus der Dropdown-Liste Datei aus. Für den Dateityp Bash Script (.sh) geben Sie das Betriebssystem an, bevor Sie Ihre Skriptdatei hochladen. Geben Sie die Parameter ein, wenn Ihr Skript eine zusätzliche Eingabe erfordert.

   3. Wählen Sie aus, ob eine Benachrichtigung gesendet werden soll, um eine manuelle Genehmigung zur Erstellung von Reaktionsmaßnahmen anzufordern.

      Wichtig Aktionen, die seit über 24 Stunden auf manuelle Genehmigung ausstehend sind, verfallen und können nicht ausgeführt werden.

   4. Wenn Sie eine manuelle Genehmigung benötigen, konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Benachrichtigungsmethode	E-Mail: Sendet eine E-Mail-Benachrichtigung an die angegebenen Empfänger Webhook: Sendet eine Benachrichtigung an die angegebenen Webhook-Kanäle
      Betreff-Präfix	Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger	Die E-Mail-Adressen der Empfänger Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook	Die Webhook-Kanäle zum Empfangen von Benachrichtigungen Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen. Tipp Um eine Webhook-Verbindung hinzuzufügen, klicken Sie im Dropdown-Menü auf Create channel.

   5. Klicken Sie auf Übernehmen.
   6. Wenn Sie mehr als eine parallele Aktion hinzufügen müssen, verwenden Sie den Knoten hinzufügen () rechts vom Ziel- oder !!Condition!!-Knoten.
8. Konfigurieren Sie die Benachrichtigungseinstellungen, indem Sie den zweiten Aktion-Knoten hinzufügen.
   1. Klicken Sie auf das Hinzufügen-Symbol () rechts vom ersten Aktion-Knoten und klicken Sie auf Aktion.
   2. Geben Sie im Aktionseinstellungen-Panel an, wie die Empfänger über die Ergebnisse des Playbooks benachrichtigt werden sollen.
   3. Für E-Mail- und Webhook-Benachrichtigungen konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Betreff-Präfix	Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger	Die E-Mail-Adressen der Empfänger Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook	Die Webhook-Kanäle zum Empfangen von Benachrichtigungen Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen. Tipp Um eine Webhook-Verbindung hinzuzufügen, klicken Sie im Dropdown-Menü auf Create channel.

   4. Für ServiceNow-Ticketbenachrichtigungen konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Ticketprofil	Das zu verwendende ServiceNow-Ticketprofil Tipp Wenn Sie ein Ticketprofil hinzufügen müssen, klicken Sie im Dropdown-Menü auf Create ticket profile.
      Einstellungen des Ticketprofils	Die Ticketprofileinstellungen für das Playbook Das Auswählen eines Ticketprofils lädt automatisch die Einstellungen. Das Ändern der Einstellungen überschreibt das Ticketprofil für das Playbook. Assignment group: Die ServiceNow-Zuweisungsgruppe, der Sie das Ticket zuweisen möchten Assigned to: Der ServiceNow-Benutzer, dem Sie das Ticket zuweisen möchten Short description: Eine kurze Beschreibung des Tickets, die in ServiceNow angezeigt wird

      Hinweis Das Senden von Ticketbenachrichtigungen über die Ergebnisse der Playbook-Ausführung eröffnet keinen Fall in Trend Vision One.

   5. Wenn Sie eine manuelle Genehmigung für das Senden von Playbook-Ergebnissen benötigen, folgen Sie Schritt 7.d, um die Benachrichtigungseinstellungen zu konfigurieren.

      Hinweis Diese Einstellung ist nur für die Ticketbenachrichtigungsaktion verfügbar.

   6. Klicken Sie auf Übernehmen.
9. Konfigurieren Sie Else-If Conditions oder Else Actions bei Bedarf.
   1. Klicken Sie auf das Hinzufügen-Symbol () unter dem !!Condition!!-Knoten und klicken Sie auf Else-If Condition oder Else Action.
   2. Konfigurieren Sie einen Bedingungsknoten, indem Sie Schritt 6 folgen, oder konfigurieren Sie einen Aktionsknoten, indem Sie Schritt 7 oder Schritt 8 folgen.

   Hinweis Die Knoten, die durch Hinzufügen eines Knotens () hinzugefügt werden können, variieren je nach dem vorhergehenden Knoten. Zum Beispiel kann ein Aktion-Knoten nur von einem weiteren Aktion-Knoten gefolgt werden; ein !!Condition!!-Knoten kann von einem Aktion-Knoten gefolgt werden oder ein Else-If Condition oder Else Action angehängt haben. Wenn eine Bedingung falsch ist, führt das Playbook die Else Action aus oder überprüft, ob die Else-If Condition erfüllt ist. Wenn die Else-If Condition erfüllt ist, setzt das Playbook die entsprechende Else Action fort. Mehrere Aktion-Knoten, die im seriellen Modus konfiguriert sind, werden nacheinander verarbeitet.

10. Aktivieren Sie das Playbook, indem Sie die Steuerung Aktivieren einschalten.
11. Klicken Sie auf Save.
    Das Playbook erscheint auf der Playbooks-Registerkarte in der Security Playbooks-App.