Ansichten:

Benachrichtigen Sie automatisch die Stakeholder über den Fortschritt der Workbench-Erkenntnisse, indem Sie Fälle eröffnen oder aktualisieren und E-Mail-Benachrichtigungen mit KI-generierten Zusammenfassungen senden.

Das Playbook zur Aktualisierung des Workbench Insight Progression unterstützt Sicherheitsteams dabei, die Kommunikation zu optimieren und die Reaktionszeit zu verkürzen, indem es automatisch Stakeholder benachrichtigt, wenn Workbench-Einblicke generiert oder aktualisiert werden. Dieses Playbook kann einen Fall für den Einblick eröffnen oder aktualisieren und E-Mail-Benachrichtigungen mit Informationen zum Einblick an festgelegte Empfänger senden. Benachrichtigungen und Fallaktualisierungen können eine von der KI generierte Zusammenfassung des Einblicks enthalten, die klare und kontextbezogene Informationen zur Unterstützung fundierter Entscheidungen bietet. Sie können das Playbook so konfigurieren, dass es sich auf bestimmte Einblicke basierend auf Score, Angriffsphase, Alarmstufe oder Fallstatus konzentriert.
Sie müssen die Berechtigung für Agentic SIEM & XDR aktiviert haben und die folgenden erforderlichen Datenquellen konfiguriert haben, um automatisierte Antwort-Playbooks zu erstellen: XDR Endpoint Sensor oder XDR Email Sensor.

Prozedur

  1. Navigieren Sie zu Workflow and AutomationSecurity Playbooks.
  2. Wählen Sie auf der Registerkarte Playbooks HinzufügenCreate playbook aus.
  3. Wählen Sie im Playbook Settings-Panel den XDR detection-Typ aus, geben Sie einen eindeutigen Namen für das Playbook an und klicken Sie auf Übernehmen.
  4. Wählen Sie im Trigger Settings-Panel den Auslösetyp Automatic or manual (executed from Workbench) oder Manual (executed from Workbench) und klicken Sie auf Übernehmen.
    • Automatic or manual (executed from Workbench): Workbench-Einblicke lösen automatisch die Ausführung des Playbooks aus. Jedes Mal, wenn ein Einblick generiert oder aktualisiert wird, wird das Playbook ausgelöst. Sie können die Ausführung des Playbooks auch manuell von der Workbench auslösen.
      Wählen Sie Execute playbook automatically only during specified period und geben Sie die Tage und Zeiträume für die automatische Ausführung an.
      Hinweis
      Hinweis
      Sie können maximal 10 Sätze von Tagen und Zeiträumen in Trigger Settings angeben.
    • Manual (executed from Workbench): Sie müssen die Ausführung des Playbooks manuell aus dem Workbench auslösen.
  5. Wählen und konfigurieren Sie im Target Settings-Panel das Ziel für das Playbook und klicken Sie auf Übernehmen.
    1. Wählen Sie im Listenfeld Ziel die Option Workbench insight aus.
    2. Wählen Sie im Dropdown-Menü Alert severity within insight den Schweregrad der Warnungen in den Workbench-Einblicken aus, die eine Fortschrittsbenachrichtigung benötigen.
    3. Wenn Sie möchten, dass Playbook-Aktionen nur für Workbench-Einblicke innerhalb eines bestimmten Bewertungsbereichs ausgelöst werden, wählen Sie Filter insights by score und wählen Sie einen Bereich aus der Dropdown-Liste oder konfigurieren Sie einen benutzerdefinierten Bereich.
    4. Wenn Sie möchten, dass Playbook-Aktionen nur für Workbench-Einblicke ausgelöst werden, die mit einer bestimmten Angriffsphase verbunden sind, wählen Sie Filter insights by attach phase und wählen Sie Angriffsphasen aus der Dropdown-Liste aus.
    1. Klicken Sie auf das Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem Ziel-Knoten und klicken Sie auf !!Condition!!.
    2. Erstellen Sie eine Bedingungseinstellung, indem Sie Parameter, Operator und !!Value!! angeben.
      Einstellung
      Beschreibung
      Parameter
      Geben Sie eine der folgenden Optionen als Parameter an:
      • Case
      • Insight score
      • Attack phase
      • Alert severity within insight
      Operator
      • IS: Die Bedingung wird ausgelöst, wenn einer der Werte übereinstimmt
      • IS NOT: Die Bedingung wird ausgelöst, wenn keiner der Werte übereinstimmt
      Wert
      Geben Sie den Parameterwert an.
    3. Klicken Sie auf Übernehmen.
    4. Wenn Sie mehr als einen parallelen !!Condition!!-Knoten hinzufügen müssen, klicken Sie auf den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem Ziel-Knoten.
    5. Wenn Sie die Aktionseinstellungen für den !!Condition!!-Knoten konfigurieren müssen, fügen Sie einen Aktion-Knoten hinzu, indem Sie auf der rechten Seite auf Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) klicken.
      Weitere Informationen finden Sie in Schritt 7.
    6. Wenn Sie else-if-Bedingungen oder else-Aktionen konfigurieren müssen, fügen Sie einen Else-If Condition- oder Else Action-Knoten hinzu, indem Sie auf den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) unter dem !!Condition!!-Knoten klicken.
      Weitere Informationen finden Sie unter Schritt 9.
  7. Konfigurieren Sie Aktionen, indem Sie einen Aktion-Knoten hinzufügen.
    1. Klicken Sie auf das Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem !!Condition!!-Knoten und klicken Sie auf Aktion.
    2. Konfigurieren Sie im Aktionseinstellungen-Panel die fallbezogenen Aktionen, die auf die anvisierten Workbench-Einblicke angewendet werden.
      Aktion
      Einstellungen
      Neuen Fall öffnen
      1. Um eine von der generativen KI erstellte Zusammenfassung der Erkenntnis in den neuen Fall aufzunehmen, klicken Sie auf Turn on Generative AI und wählen Sie Workbench insight summary.
      2. Um relevante Inhalte aus anderen Fällen zu importieren, wählen Sie Import case contents from cases with correlated alerts.
      3. Um dem Fall eine Prioritätsstufe zuzuweisen, wählen Sie Assign case priority und wählen Sie die Prioritätsstufe aus.
      4. Um Fallbesitzer aus Trend Vision One zu bestimmen, wählen Sie Assign Trend Vision One case owners und wählen Sie Besitzer aus der Owners-Dropdown-Liste aus.
      Hinweis
      Hinweis
      Wenn bereits ein Fall für die anvisierten Workbench-Einblicke existiert, überschreiben die neuen Falleinstellungen den bestehenden Fall.
      Bestehenden Fall aktualisieren
      1. Wählen Sie den neuen Status für den Fall aus den verfügbaren Optionen aus.
        • Zu erledigen
        • Wird ausgeführt
        • Geschlossen
      2. Wählen Sie die relevanten Ergebnisse im Zusammenhang mit dem Fall aus.
        • Wahr positiv
        • Gutartiger wahrer Positiver
        • Falschmeldung
        • Beachtenswert
        • Weitere Funde
      3. Wenn Sie zusätzliche Informationen oder Anmerkungen haben, geben Sie diese in das Textfeld Kommentar ein.
    3. Klicken Sie auf Übernehmen.
    4. Wenn Sie mehr als eine parallele Aktion hinzufügen müssen, verwenden Sie den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts vom Ziel- oder !!Condition!!-Knoten.
  8. Konfigurieren Sie die Benachrichtigungseinstellungen, indem Sie den zweiten Aktion-Knoten hinzufügen.
    1. Klicken Sie auf das Hinzufügen-Symbol (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts vom ersten Aktion-Knoten und klicken Sie auf Aktion.
    2. Geben Sie im Aktionseinstellungen-Panel an, wie die Empfänger über Erkenntnisinformationen benachrichtigt werden sollen.
      Aktion
      Einstellungen
      E-Mail-Benachrichtigung über Erkenntnisinformationen senden
      1. Geben Sie das Präfix an, das am Anfang der Betreffzeile der Benachrichtigung erscheint.
      2. Um eine von der generativen KI erstellte Zusammenfassung der Erkenntnis in die E-Mail-Benachrichtigung aufzunehmen, klicken Sie auf Turn on Generative AI und wählen Sie Workbench insight summary aus.
      3. Um die erweiterten Workbench-Einblicke mit Anhängen einzuschließen, wählen Sie Attachments of alert list, Attachments of impact scope und Attachments of highlighted objects.
      4. Geben Sie die E-Mail-Adressen der Empfänger an.
    3. Klicken Sie auf Übernehmen.
  9. Konfigurieren Sie Else-If Conditions oder Else Actions bei Bedarf.
    1. Klicken Sie auf das Hinzufügen-Symbol (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) unter dem !!Condition!!-Knoten und klicken Sie auf Else-If Condition oder Else Action.
    2. Konfigurieren Sie einen Bedingungsknoten, indem Sie Schritt 6 folgen, oder konfigurieren Sie einen Aktionsknoten, indem Sie Schritt 7 oder Schritt 8 folgen.
    Hinweis
    Hinweis
    • Die Knoten, die durch Hinzufügen eines Knotens (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) hinzugefügt werden können, variieren je nach dem vorhergehenden Knoten. Zum Beispiel kann ein Aktion-Knoten nur von einem weiteren Aktion-Knoten gefolgt werden; ein !!Condition!!-Knoten kann von einem Aktion-Knoten gefolgt werden oder ein Else-If Condition oder Else Action angehängt haben.
    • Wenn eine Bedingung falsch ist, führt das Playbook die Else Action aus oder überprüft, ob die Else-If Condition erfüllt ist. Wenn die Else-If Condition erfüllt ist, setzt das Playbook die entsprechende Else Action fort.
    • Mehrere Aktion-Knoten, die im seriellen Modus konfiguriert sind, werden nacheinander verarbeitet.
  10. Aktivieren Sie das Playbook, indem Sie die Steuerung Aktivieren einschalten.
  11. Klicken Sie auf Save.
    Das Playbook erscheint auf der Playbooks-Registerkarte in der Security Playbooks-App.