Ansichten:

Führen Sie benutzerdefinierte Skripte manuell oder periodisch auf einem Zielendpunkt aus oder isolieren Sie Endpunkte, die ein Sicherheitsrisiko für Ihr Netzwerk darstellen könnten.

Erstellen Sie Endpoint-Response-Playbooks, um präventive Maßnahmen bei kompromittierten Endpunkten während einer Untersuchung zu ergreifen.
Wichtig
Wichtig
Sie müssen die Berechtigung für Agentic SIEM & XDR aktiviert haben und die folgenden erforderlichen Datenquellen konfiguriert haben, um Endpoint Response Playbooks zu erstellen: XDR Endpoint Sensor.

Prozedur

  1. Navigieren Sie zu Workflow and AutomationSecurity Playbooks.
  2. Wählen Sie auf der Registerkarte Playbooks HinzufügenCreate playbook aus.
  3. Wählen Sie im Playbook Settings-Panel den Allgemein-Typ aus, geben Sie einen eindeutigen Namen für das Playbook an und klicken Sie auf Übernehmen.
  4. Wählen Sie im Trigger Settings-Panel den Auslösetyp aus und klicken Sie auf Übernehmen.
    • Manuell: Ermöglicht es Ihnen, die Playbook-Ausführung zu starten, indem Sie auf das Run-Symbol (run=fddd0df8-993a-4aa5-b09c-51ad84aec2a4.png) klicken
    • Zeitgesteuert: Ermöglicht es Ihnen, das Playbook so zu planen, dass es täglich, wöchentlich oder monatlich ausgeführt wird
  5. Wählen und konfigurieren Sie im Target Settings-Panel das Ziel für das Playbook und klicken Sie auf Übernehmen.
    1. Wählen Sie, ob Sie das Playbook auf Endpunkten nach Endpunktname oder IP-Adresse ausführen möchten.
    2. Geben Sie die Endpunktnamen oder IP-Adressen/IP-Bereiche der Zielendpunkte an.
      • Um das Playbook auf Endpunkten über Endpunktname auszuführen, geben Sie die Endpunktnamen in das Textfeld Endpunktname ein oder laden Sie eine CSV-Datei hoch, die bis zu 256 Endpunktnamen enthält.
      • Um das Playbook auf Endpunkten durch IP-Adresse auszuführen, geben Sie die IP-Adresse oder den IP-Bereich im IP-Adresse-Textfeld ein oder laden Sie eine CSV-Datei hoch, die bis zu 256 IP-Adressen oder IP-Bereiche enthält.
        Es können maximal 10 IP-Bereiche verwendet werden. Beispiele für den IP-Bereich sind wie folgt:
        • 10.1.0.*
        • 192.168.1.0/24
        • 192.168.1.10–192.168.1.20
        In CIDR-Notation sollte die Präfixlänge zwischen 16 und 32 liegen. Bei Verwendung des Start-IP–End-IP-Formats müssen die ersten beiden Oktette (die den Netzwerkteil darstellen) für alle IP-Adressen innerhalb des Bereichs identisch sein.
    3. Geben Sie das Betriebssystem und Endpunkttyp an.
  6. Wenn Sie Maßnahmen ergreifen müssen, wenn bestimmte Bedingungen erfüllt sind, konfigurieren Sie den !!Condition!!-Knoten.
    1. Klicken Sie auf das Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem Ziel-Knoten und klicken Sie auf !!Condition!!.
    2. Erstellen Sie eine Bedingungseinstellung, indem Sie Parameter, Operator und !!Value!! angeben.
      Einstellung
      Beschreibung
      Parameter
      Geben Sie IP-Adresse, Endpunktname, Betriebssystem oder Endpunkttyp als Parameter an.
      Operator
      • IS: Die Bedingung wird ausgelöst, wenn einer der Werte übereinstimmt
      • IS NOT: Die Bedingung wird ausgelöst, wenn keiner der Werte übereinstimmt
      Wert
      Geben Sie den Parameterwert an.
    3. Wenn Sie mehrere Bedingungseinstellungen konfigurieren müssen, klicken Sie auf Hinzufügen.
      Der Bedingungsoperator wird mit einem logischen UND ausgewertet.
    4. Klicken Sie auf Übernehmen.
    5. Wenn Sie mehr als einen parallelen !!Condition!!-Knoten hinzufügen müssen, klicken Sie auf den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem Ziel-Knoten.
    6. Wenn Sie die Aktionseinstellungen für den !!Condition!!-Knoten konfigurieren müssen, fügen Sie einen Aktion-Knoten hinzu, indem Sie auf der rechten Seite auf Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) klicken.
      Weitere Informationen finden Sie unter Schritt 7.
    7. Wenn Sie else-if-Bedingungen oder else-Aktionen konfigurieren müssen, fügen Sie einen Else-If Condition- oder Else Action-Knoten hinzu, indem Sie auf den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) unter dem !!Condition!!-Knoten klicken.
      Weitere Informationen finden Sie unter Schritt 9.
  7. Konfigurieren Sie Aktionen, indem Sie einen Aktion-Knoten hinzufügen.
    1. Klicken Sie auf das Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem !!Condition!!-Knoten und klicken Sie auf Aktion.
    2. Wählen Sie im Aktionseinstellungen-Panel Run custom script oder Isolate endpoint aus der Aktion-Dropdown-Liste aus.
    3. Für Run custom script wählen Sie einen Skript-Dateityp aus der Dateityp-Dropdown-Liste aus.
    4. Laden Sie eine Skriptdatei von Ihrem lokalen Gerät hoch, indem Sie auf Upload File klicken. Wählen Sie dann Ihre Skriptdatei aus der Dropdown-Liste Datei aus.
      Für den Dateityp Bash Script (.sh) geben Sie das Betriebssystem an, bevor Sie Ihre Skriptdatei hochladen.
    5. Geben Sie die Parameter ein, wenn Ihr Skript eine zusätzliche Eingabe erfordert.
    6. Wählen Sie aus, ob eine Benachrichtigung gesendet werden soll, um eine manuelle Genehmigung zur Erstellung von Reaktionsmaßnahmen anzufordern.
      Wichtig
      Wichtig
      Aktionen, die seit über 24 Stunden auf manuelle Genehmigung ausstehend sind, verfallen und können nicht ausgeführt werden.
    7. Wenn Sie eine manuelle Genehmigung benötigen, konfigurieren Sie die folgenden Einstellungen.
      Einstellung
      Beschreibung
      Benachrichtigungsmethode
      • E-Mail: Sendet eine E-Mail-Benachrichtigung an die angegebenen Empfänger
      • Webhook: Sendet eine Benachrichtigung an die angegebenen Webhook-Kanäle
      Betreff-Präfix
      Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger
      Die E-Mail-Adressen der Empfänger
      Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook
      Die Webhook-Kanäle zum Empfangen von Benachrichtigungen
      Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen.
      Tipp
      Tipp
      Um eine Webhook-Verbindung hinzuzufügen, klicken Sie im Dropdown-Menü auf Create channel.
    8. Klicken Sie auf Übernehmen.
    9. Wenn Sie mehr als eine parallele Aktion hinzufügen müssen, verwenden Sie den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts vom Ziel- oder !!Condition!!-Knoten.
  8. Konfigurieren Sie die Benachrichtigungseinstellungen, indem Sie den zweiten Aktion-Knoten hinzufügen.
    1. Klicken Sie auf das Hinzufügen-Symbol (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts vom ersten Aktion-Knoten und klicken Sie auf Aktion.
    2. Geben Sie im Aktionseinstellungen-Panel an, wie die Empfänger über die Ergebnisse des Playbooks benachrichtigt werden sollen.
    3. Für E-Mail- und Webhook-Benachrichtigungen konfigurieren Sie die folgenden Einstellungen.
      Einstellung
      Beschreibung
      Betreff-Präfix
      Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger
      Die E-Mail-Adressen der Empfänger
      Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook
      Die Webhook-Kanäle zum Empfangen von Benachrichtigungen
      Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen.
      Tipp
      Tipp
      Um eine Webhook-Verbindung hinzuzufügen, klicken Sie im Dropdown-Menü auf Create channel.
    4. Für ServiceNow-Ticketbenachrichtigungen konfigurieren Sie die folgenden Einstellungen.
      Einstellung
      Beschreibung
      Ticketprofil
      Das zu verwendende ServiceNow-Ticketprofil
      Tipp
      Tipp
      Wenn Sie ein Ticketprofil hinzufügen müssen, klicken Sie im Dropdown-Menü auf Create ticket profile.
      Einstellungen des Ticketprofils
      Die Ticketprofileinstellungen für das Playbook
      Das Auswählen eines Ticketprofils lädt automatisch die Einstellungen. Das Ändern der Einstellungen überschreibt das Ticketprofil für das Playbook.
      • Assignment group: Die ServiceNow-Zuweisungsgruppe, der Sie das Ticket zuweisen möchten
      • Assigned to: Der ServiceNow-Benutzer, dem Sie das Ticket zuweisen möchten
      • Short description: Eine kurze Beschreibung des Tickets, die in ServiceNow angezeigt wird
    5. Wenn Sie eine manuelle Genehmigung für das Senden von Playbook-Ergebnissen benötigen, folgen Sie Schritt 7, um die Benachrichtigungseinstellungen zu konfigurieren.
      Hinweis
      Hinweis
      Diese Einstellung ist nur für die Ticketbenachrichtigungsaktion verfügbar.
    6. Klicken Sie auf Übernehmen.
  9. Konfigurieren Sie Else-If Conditions oder Else Actions bei Bedarf.
    1. Klicken Sie auf das Hinzufügen-Symbol (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) unter dem !!Condition!!-Knoten und klicken Sie auf Else-If Condition oder Else Action.
    2. Konfigurieren Sie einen Bedingungsknoten, indem Sie Schritt 6 folgen, oder konfigurieren Sie einen Aktionsknoten, indem Sie Schritt 7 oder Schritt 8 folgen.
    Hinweis
    Hinweis
    • Die Knoten, die durch Hinzufügen eines Knotens (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) hinzugefügt werden können, variieren je nach dem vorhergehenden Knoten. Zum Beispiel kann ein Aktion-Knoten nur von einem weiteren Aktion-Knoten gefolgt werden; ein !!Condition!!-Knoten kann von einem Aktion-Knoten gefolgt werden oder ein Else-If Condition oder Else Action angehängt haben.
    • Wenn eine Bedingung falsch ist, führt das Playbook die Else Action aus oder überprüft, ob die Else-If Condition erfüllt ist. Wenn die Else-If Condition erfüllt ist, setzt das Playbook die entsprechende Else Action fort.
    • Mehrere Aktion-Knoten, die im seriellen Modus konfiguriert sind, werden nacheinander verarbeitet.
  10. Aktivieren Sie das Playbook, indem Sie die Steuerung Aktivieren einschalten.
  11. Klicken Sie auf Save.
    Das Playbook erscheint auf der Playbooks-Registerkarte in der Security Playbooks-App.