Erstellen Sie Playbooks zur Reaktion auf Risikovorfälle

Prozedur

1. Navigieren Sie zu Workflow and Automation → Security Playbooks.
2. Wählen Sie auf der Registerkarte Playbooks Hinzufügen → Create playbook aus.
3. Wählen Sie im Playbook Settings-Panel den Risk events-Typ aus, geben Sie einen eindeutigen Namen für das Playbook an und klicken Sie auf Übernehmen.
4. Wählen Sie im Trigger Settings-Panel den Auslösetyp aus und klicken Sie auf Übernehmen.
   • Manuell: Ermöglicht es Ihnen, die Playbook-Ausführung zu starten, indem Sie auf das Run-Symbol () klicken
   • Zeitgesteuert: Ermöglicht es Ihnen, das Playbook stündlich, täglich, wöchentlich oder monatlich auszuführen
5. Wählen und konfigurieren Sie im Target Settings-Panel das Ziel für das Playbook und klicken Sie auf Übernehmen.
   Sie können maximal 10 Ziel-Knoten für jedes Risk Event Response Playbook hinzufügen.
   1. Wählen Sie in der Risk factor-Dropdown-Liste den Risikofaktor der Risikoevents aus, auf die das Playbook reagieren soll.

      Hinweis Für die XDR-Erkennung erstellen Sie automatisierte Antwort-Playbooks, um automatisch Maßnahmen bei hochpriorisierten Warnungen im Workbench zu ergreifen.

   2. Wählen Sie in der Dropdown-Liste Asset type die Asset-Typen aus, die mit den angegebenen Risikofaktoren verbunden sind.
   3. Wählen Sie in der Dropdown-Liste Risk event die Risikoevents aus, auf die das Playbook reagieren soll.

      Wichtig Wenn Sie All risk events auswählen, schließt das Playbook-Ziel automatisch alle zukünftigen Risikovorfälle ein, die mit dem ausgewählten Risikofaktor verbunden sind. Nur Risikoevents mit den Zuständen Neu und In Bearbeitung lösen Playbook-Aktionen aus.

   4. Wählen Sie in der Risikostufe-Dropdown-Liste die Risikostufen der Risikoevents aus.
6. Wenn Sie Maßnahmen ergreifen müssen, wenn bestimmte Bedingungen erfüllt sind, konfigurieren Sie den !!Condition!!-Knoten.
   1. Klicken Sie auf das Knoten hinzufügen () rechts neben dem Ziel-Knoten und klicken Sie auf !!Condition!!.
   2. Erstellen Sie eine Bedingungseinstellung, indem Sie Parameter, Operator und !!Value!! angeben.
      • IS: Die Bedingung wird ausgelöst, wenn einer der Werte übereinstimmt
      • IS NOT: Die Bedingung wird ausgelöst, wenn keiner der Werte übereinstimmt
   3. Klicken Sie auf Übernehmen.
   4. Wenn Sie mehr als einen parallelen !!Condition!!-Knoten hinzufügen müssen, klicken Sie auf den Knoten hinzufügen () rechts neben dem Ziel-Knoten.
   5. Wenn Sie die Aktionseinstellungen für den !!Condition!!-Knoten konfigurieren müssen, fügen Sie einen Aktion-Knoten hinzu, indem Sie auf der rechten Seite auf Knoten hinzufügen () klicken.
      Weitere Informationen finden Sie in Schritt 7.
   6. Wenn Sie else-if-Bedingungen oder else-Aktionen konfigurieren müssen, fügen Sie einen Else-If Condition- oder Else Action-Knoten hinzu, indem Sie auf den Knoten hinzufügen () unter dem !!Condition!!-Knoten klicken.
      Weitere Informationen finden Sie in Schritt 9.
7. Konfigurieren Sie Aktionen, indem Sie einen Aktion-Knoten hinzufügen.
   1. Klicken Sie auf das Knoten hinzufügen () rechts neben dem !!Condition!!-Knoten und klicken Sie auf Aktion.
   2. Wählen Sie im Aktionseinstellungen-Panel Generate CSV file aus oder wählen Sie Risk events aus und konfigurieren Sie die Reaktionsmaßnahmen, die bei den angegebenen Risikovorfällen ergriffen werden.
      • Generate CSV file: Das Playbook konsolidiert erkannte Risikoevents und generiert .CSV-Dateien, die Informationen über die Risikoevents und die betroffenen Assets enthalten.
      • Risk events: Das Playbook ergreift direkte Maßnahmen als Reaktion auf Risikovorfälle.

        Einstellung	Beschreibung
        Benutzerkonten	Keine: Unternimmt keine Aktion für Benutzerkonten Benutzerkonto deaktivieren: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Benutzer können sich nicht in einer neuen Sitzung anmelden. Die Abmeldung erzwingen: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Benutzer werden nicht daran gehindert, sich sofort wieder in den geschlossenen Sitzungen oder in neuen Sitzungen anzumelden. Die Zurücksetzung des Kennworts erzwingen: Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen ab und zwingt den Benutzer, beim nächsten Anmeldeversuch ein neues Passwort zu erstellen
        Endpunkte	Endpunkt isolieren: Trennt den Zielendpunkt vom Netzwerk, außer für die Kommunikation mit dem verwaltenden Trend Micro-Serverprodukt Run Remote Custom Script: Verbindet sich mit einem überwachten Endpunkt und führt eine zuvor hochgeladene PowerShell- oder Bash-Skriptdatei aus Um ein benutzerdefiniertes Skript auszuführen, führen Sie die folgenden Schritte aus: Wählen Sie in der Dateityp-Dropdown-Liste einen Skriptdateityp aus. Laden Sie eine Skriptdatei von Ihrem lokalen Speicher hoch, indem Sie auf Upload File klicken. Wählen Sie dann Ihre Skriptdatei aus der Dropdown-Liste Datei aus. Für den Dateityp Bash Script (.sh) geben Sie das Betriebssystem an, bevor Sie Ihre Skriptdatei hochladen. Geben Sie die Parameter ein, wenn Ihr Skript eine zusätzliche Eingabe erfordert.

   3. Wählen Sie aus, ob eine Benachrichtigung gesendet werden soll, um eine manuelle Genehmigung zur Erstellung allgemeiner Aktionen anzufordern, und konfigurieren Sie dann die Benachrichtigungseinstellungen, wenn Sie eine manuelle Genehmigung benötigen.

      Hinweis Aktionen, die seit über 24 Stunden auf manuelle Genehmigung ausstehend sind, verfallen und können nicht ausgeführt werden.

      Einstellung	Beschreibung
      Benachrichtigungsmethode	E-Mail: Sendet eine E-Mail-Benachrichtigung an die angegebenen Empfänger Webhook: Sendet eine Benachrichtigung an die angegebenen Webhook-Kanäle
      Betreff-Präfix	Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger	Die E-Mail-Adressen der Empfänger Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook	Die Webhook-Kanäle zum Empfangen von Benachrichtigungen Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen. Tipp Um eine Webhook-Verbindung hinzuzufügen, klicken Sie im Dropdown-Menü auf Create channel.

   4. Klicken Sie auf Übernehmen.
   5. Wenn Sie mehr als eine parallele Aktion hinzufügen müssen, verwenden Sie den Knoten hinzufügen () rechts vom Ziel- oder !!Condition!!-Knoten.
8. Konfigurieren Sie die Benachrichtigungseinstellungen, indem Sie den zweiten Aktion-Knoten hinzufügen.
   1. Klicken Sie auf das Hinzufügen-Symbol () rechts vom ersten Aktion-Knoten und klicken Sie auf Aktion.
   2. Geben Sie im Aktionseinstellungen-Panel an, wie die Empfänger über die Ergebnisse des Playbooks benachrichtigt werden sollen.
   3. Für E-Mail- und Webhook-Benachrichtigungen konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Betreff-Präfix	Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger	Die E-Mail-Adressen der Empfänger Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook	Die Webhook-Kanäle zum Empfangen von Benachrichtigungen Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen. Tipp Um eine Webhook-Verbindung hinzuzufügen, klicken Sie im Dropdown-Menü auf Create channel.

   4. Für ServiceNow-Ticketbenachrichtigungen konfigurieren Sie die folgenden Einstellungen.

      Einstellung	Beschreibung
      Ticketprofil	Das zu verwendende ServiceNow-Ticketprofil Tipp Wenn Sie ein Ticketprofil hinzufügen müssen, klicken Sie im Dropdown-Menü auf Create ticket profile.
      Einstellungen des Ticketprofils	Die Ticketprofileinstellungen für das Playbook Das Auswählen eines Ticketprofils lädt automatisch die Einstellungen. Das Ändern der Einstellungen überschreibt das Ticketprofil für das Playbook. Assignment group: Die ServiceNow-Zuweisungsgruppe, der Sie das Ticket zuweisen möchten Assigned to: Der ServiceNow-Benutzer, dem Sie das Ticket zuweisen möchten Short description: Eine kurze Beschreibung des Tickets, die in ServiceNow angezeigt wird

   5. Wenn Sie eine manuelle Genehmigung für das Senden von Playbook-Ergebnissen benötigen, folgen Sie Schritt 3, um die Benachrichtigungseinstellungen zu konfigurieren.

      Hinweis Diese Einstellung ist nur für die Ticketbenachrichtigungsaktion verfügbar.

   6. Klicken Sie auf Übernehmen.
9. Konfigurieren Sie Else-If Conditions oder Else Actions bei Bedarf.
   1. Klicken Sie auf das Hinzufügen-Symbol () unter dem !!Condition!!-Knoten und klicken Sie auf Else-If Condition oder Else Action.
   2. Konfigurieren Sie einen !!Condition!!-Knoten, indem Sie Schritt 6 folgen, oder einen Aktion-Knoten, indem Sie Schritt 7 oder Schritt 8 folgen.

   Hinweis Die Knoten, die durch Hinzufügen eines Knotens () hinzugefügt werden können, variieren je nach dem vorhergehenden Knoten. Zum Beispiel kann ein Aktion-Knoten nur von einem weiteren Aktion-Knoten gefolgt werden; ein !!Condition!!-Knoten kann von einem Aktion-Knoten gefolgt werden oder ein Else-If Condition oder Else Action angehängt haben. Wenn eine Bedingung falsch ist, führt das Playbook die Else Action aus oder überprüft, ob die Else-If Condition erfüllt ist. Wenn die Else-If Condition erfüllt ist, setzt das Playbook die entsprechende Else Action fort. Mehrere Aktion-Knoten, die im seriellen Modus konfiguriert sind, werden nacheinander verarbeitet.

10. Aktivieren Sie das Playbook, indem Sie die Steuerung Aktivieren einschalten.
11. Klicken Sie auf Save.
    Das Playbook erscheint auf der Playbooks-Registerkarte in der Security Playbooks-App.