Ansichten:

Sammeln Sie Beweise zur Unterstützung der Bedrohungsermittlung und der Vorfallreaktion, indem Sie Beweissammlungs-Playbooks erstellen.

Sammeln Sie detaillierte Beweise von potenziell kompromittierten Endpunkten für interne Untersuchungen zu kritischen Vorfällen, die in Ihrem Netzwerk aufgetreten sind und möglicherweise weitere Aufmerksamkeit erfordern.
Wichtig
Wichtig
  • Die Beweiserhebung erfordert, dass Sie XDR Endpoint Sensoren auf den Zielendpunkten aktivieren.
  • Beweisarchive verwenden die gleichen Ordnerstrukturen wie die SANS-Institute und das CyLR-Tool.

Prozedur

  1. Navigieren Sie zu Workflow and AutomationSecurity Playbooks.
  2. Wählen Sie auf der Registerkarte Playbooks HinzufügenCreate from template aus.
  3. Wählen Sie Incident Response Evidence Collection aus und klicken Sie auf Create Playbook from Template.
  4. Konfigurieren Sie die Playbook-Einstellungen und klicken Sie auf Übernehmen.
    Hinweis
    Hinweis
    Sie müssen einen eindeutigen Namen für das Playbook angeben.
  5. Um den Namen des Trigger-Knotens anzupassen, klicken Sie auf das Bearbeitungssymbol (edit=6bab3fa2-ec74-4134-97fb-784f64900103.png).
  6. Identifizieren Sie Zielendpunkte für die Beweissammlung anhand von Endpunktnamen oder IP-Adressen.
    • Um Beweise von Endpunkten durch Endpunktname zu sammeln, geben Sie die Endpunktnamen in das Textfeld Endpunktname ein.
    • Um Beweismittel von Endpunkten durch IP-Adresse zu erfassen, geben Sie die IP-Adresse oder den IP-Bereich im Textfeld IP-Adresse an.
      Es können maximal 10 IP-Bereiche verwendet werden. Beispiele für den IP-Bereich sind wie folgt:
      • 10.1.0.*
      • 192.168.1.0/24
      • 192.168.1.10–192.168.1.20
      In CIDR-Notation sollte die Präfixlänge zwischen 16 und 32 liegen. Bei Verwendung des Start-IP–End-IP-Formats müssen die ersten beiden Oktette (die den Netzwerkteil darstellen) für alle IP-Adressen innerhalb des Bereichs identisch sein.
  7. Konfigurieren Sie die Einstellungen für die manuelle Genehmigung im ersten Aktionsknoten (Standardname: Notify recipients for manual approval).
    1. (Optional) Geben Sie eine benutzerdefinierte Name für den Knoten ein.
    2. Wählen Sie aus, ob eine Benachrichtigung gesendet werden soll, um eine manuelle Genehmigung zur Erstellung von Reaktionsmaßnahmen anzufordern.
      Wichtig
      Wichtig
      Aktionen, die seit über 24 Stunden auf manuelle Genehmigung ausstehend sind, verfallen und können nicht ausgeführt werden.
    3. Wenn Sie eine manuelle Genehmigung benötigen, konfigurieren Sie die folgenden Einstellungen.
      Einstellung
      Beschreibung
      Benachrichtigungsmethode
      • E-Mail: Sendet eine E-Mail-Benachrichtigung an die angegebenen Empfänger
      • Webhook: Sendet eine Benachrichtigung an die angegebenen Webhook-Kanäle
      Betreff-Präfix
      Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger
      Die E-Mail-Adressen der Empfänger
      Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook
      Die Webhook-Kanäle zum Empfangen von Benachrichtigungen
      Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen.
      Tipp
      Tipp
      Um eine Webhook-Verbindung hinzuzufügen, klicken Sie im Dropdown-Menü auf Create channel.
  8. Konfigurieren Sie die Beweiserfassung im nächsten Aktionsknoten (Standardname: Collect evidence).
    Einstellung
    Beschreibung
    Name
    Der Knotenname
    Beweisarten
    Arten von Beweismitteln zu sammeln
    Hinweis
    Hinweis
    Basic information ist erforderlich.
    Archivspeicherort auf dem Endpunkt
    Der Speicherort des Archivs auf dem lokalen Endpunkt
    Wichtig
    Wichtig
    • Das lokale Archiv verfügt nicht über Verschlüsselung und bleibt auf dem Endpunkt, bis es gelöscht wird. Dies kann es jedem mit Zugriff auf das Dateisystem ermöglichen, auf sensible Informationen zuzugreifen oder die Existenz einer laufenden Untersuchung offenzulegen.
    • Beweisarchive beanspruchen Speicherplatz auf der Festplatte und können die Leistung des Endpunkts beeinträchtigen.
    Beweise hochladen zu Trend Vision One
    Lädt Beweise in die Forensics-App in der Trend Vision One-Konsole hoch
    Wichtig
    Wichtig
    Das Playbook erfordert Credits, um die gesammelten Beweise in die Forensics-App in der Trend Vision One-Konsole hochzuladen. Konfigurieren Sie das Datenkontingent in Forensics, bevor Sie das Playbook einrichten, um Beweise hochzuladen.
    Wenn das Datenvolumen nicht konfiguriert ist, können alle Playbooks, die vor dem 13. Oktober 2023 mit Upload evidence to Trend Vision One aktiviert wurden, keine Beweise sammeln, lokal speichern oder in die Forensic-App hochladen.
    Tipp
    Tipp
    Finden Sie hochgeladene Beweise auf der Seite Execution Results in der Security Playbooks-App.
  9. Geben Sie an, wie die Empfänger über die Ergebnisse des Playbooks benachrichtigt werden sollen, indem Sie den zweiten Pfadauswahlknoten konfigurieren.
    Hinweis
    Hinweis
    Sie können nur einen Pfad für die Benachrichtigung der Ergebnisse auswählen.
  10. Für E-Mail- und Webhook-Benachrichtigungen konfigurieren Sie den Aktionsknoten (Standardname: Send notification of results).
    Einstellung
    Beschreibung
    Name
    Der Knotenname
    Benachrichtigungsmethode
    • E-Mail: Sendet eine E-Mail-Benachrichtigung an die angegebenen Empfänger
    • Webhook: Sendet eine Benachrichtigung an die angegebenen Webhook-Kanäle
    Betreff-Präfix
    Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
    Empfänger
    Die E-Mail-Adressen der Empfänger
    Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
    Webhook
    Die Webhook-Kanäle zum Empfangen von Benachrichtigungen
    Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen.
    Tipp
    Tipp
    Wenn Sie eine Webhook-Verbindung hinzufügen müssen, klicken Sie im Dropdown-Menü auf Create channel.
  11. Konfigurieren Sie für ServiceNow-Ticketbenachrichtigungen die beiden Aktionsknoten.
    1. Befolgen Sie Schritt 7, um den ersten Aktionsknoten zu konfigurieren (Standardname: Notify recipients for manual approval).
    2. Konfigurieren Sie den nächsten Aktionsknoten (Standardname: Send ticket notification of results).
      Einstellung
      Beschreibung
      Name
      Der Knotenname
      Benachrichtigungsmethode
      Der Aktionsknoten kann nur Ticket-Benachrichtigungen senden
      Ticketprofil
      Das zu verwendende ServiceNow-Ticketprofil
      Tipp
      Tipp
      Wenn Sie ein Ticketprofil hinzufügen müssen, klicken Sie im Dropdown-Menü auf Create ticket profile.
      Einstellungen des Ticketprofils
      Die Ticketprofileinstellungen für das Playbook
      Das Auswählen eines Ticketprofils lädt automatisch die Einstellungen. Das Ändern der Einstellungen überschreibt das Ticketprofil für das Playbook.
      • Assignment group: Die ServiceNow-Zuweisungsgruppe, der Sie das Ticket zuweisen möchten
      • Assigned to: Der ServiceNow-Benutzer, dem Sie das Ticket zuweisen möchten
      • Short description: Eine kurze Beschreibung des Tickets, die in ServiceNow angezeigt wird
  12. Aktivieren Sie das Playbook, indem Sie die Steuerung Aktivieren einschalten.
  13. Klicken Sie auf Save.
    Das Playbook erscheint auf der Playbooks-Registerkarte in der Security Playbooks-App.
Zugehörige Informationen