檢視次數:

透過建立自動回應劇本,自動回應重要的Workbench警報,加快回應速度並將影響範圍降至最低。

自動回應劇本(前稱自動回應)允許您利用安全劇本應用程式來自動化您對Workbench警報的回應。
當偵測模型對非常可疑可疑物件觸發警報時,自動回應手冊可以創建回應任務並將結果編譯成報告發送給您安全團隊。
自動調查與回應系統利用由TrendAI™主動式雲端截毒技術提供支持的TrendAI™安全威脅資訊,重新評估在Workbench警報中發現的重點對象,例如檔案、URL、IP 位址和網域。分析會在重新評估期間衡量誤報的可能性。如果誤報的可能性低,則將該對象標記為非常可疑。如果誤報的可能性較高,則將該對象標記為可疑。回應系統執行playbook並根據每個對象創建回應任務。如果在單個Workbench警報中有多個重點對象,回應系統和playbook可能會為每個對象創建個別的回應任務,這些任務可能會同時執行。
重要
重要
您必須啟用 Agentic SIEM & XDR 授權,並配置以下所需的資料來源,以建立自動回應 Playbooks:XDR Endpoint Sensor 或 XDR Email Sensor。

步驟

  1. 移至「Workflow and Automation」「Security Playbooks」
  2. 「Playbooks」標籤上,選擇「新增」「Build manually」
  3. 「Playbook Settings」面板上,選擇「XDR detection」類型,為Playbook指定一個唯一名稱,然後點擊「套用」
  4. Trigger Settings面板上,選擇觸發類型並點選Apply
    • Automatic or manual (executed from Workbench):Workbench 警示會自動觸發 Playbook 執行。您也可以從 Workbench 手動觸發 Playbook 執行。
      選擇「Execute playbook automatically only during specified period」並指定自動執行的日期和時間段。
      注意
      注意
      您可以在「Trigger Settings」中指定最多10組日期和時間段。
    • Manual (executed from Workbench):您需要從 Workbench 手動觸發 Playbook 執行。
    如需有關如何從 Workbench 觸發 Playbook 執行的詳細資訊,請參閱 Workbench 文件中的 所有警報在 Workbench 洞察中相關的警報
  5. Target Settings面板上,選擇並配置Target以用於劇本,然後點選Apply
    1. 對於「目標」,請選取「Workbench alert」
    2. 選擇「嚴重性」級別的Workbench警報,以進行進一步調查。
    3. 如果您希望 Playbook 操作僅針對與特定檢測模型相關的 Workbench 警報觸發,請選擇「Filter by detection models」
      1. 點擊「Select Models」
      2. 選擇用於篩選 Workbench 警報的檢測模型。
        重要
        重要
        重要
        重要
        您選擇的模型嚴重性必須與目標設定的嚴重性相符,否則 Playbook 可能無法執行。
        秘訣
        秘訣
        您可以使用預定義和自訂偵測模型來篩選 Workbench 警示。點擊「Custom Models」以選擇自訂偵測模型。
      3. 點擊「Move to Selected Detection Models」
      4. 按一下「儲存」。
    4. 如果您想根據Workbench警報中突出顯示物件的風險評級設置條件,請選擇「Filter by highlighted object risk」
    5. 如果您希望 Playbook 為符合條件的 Workbench 警報開啟案件,請選擇「Open a Workbench case」,指派最多 50 位負責人給該警報,並指定當 Playbook 成功執行時是否自動關閉案件。
      重要
      重要
      建立案件會將所有 Workbench 註釋轉移到案件中。新的註釋只能新增到案件中。
      如果您想將案件同步到 ServiceNow,請參閱 配置 ServiceNow ITSM 以啟用 TrendAI Vision One™ 於 ServiceNow 工單系統 中的步驟 9。
      已在 Workbench 中與案件關聯的警報不會觸發新案件的建立。相反地,Playbook 將更新現有案件的執行狀態和執行結果。Playbook 不會為已經有負責人的現有案件指派新負責人。
    6. 按一下「套用」。
  6. 如果需要在滿足特定條件時採取行動,請配置Condition節點。
    1. 點選Target節點右側的新增節點(plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png),然後點選Condition
    2. 通過指定ParameterOperatorValue來創建條件設置。
      設定
      說明
      參數
      請指定以下選項之一作為參數:
      • Asset group
      • Asset criticality
      • Custom tags
      • Endpoint name
      • Endpoint type
      • Highlighted object risk
        注意
        注意
        此選項僅在您於Target節點中選擇Filter by highlighted object risk時可用。
      • IP address
        重要
        重要
        這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
      • 作業系統
      操作員
      • IS:如果任何值匹配,則觸發條件
      • IS NOT:如果沒有符合的值,則觸發此條件
      指定參數值。
      Highlighted object risk 的值說明如下:
      • Highly suspicious:被標記的物件為誤報的可能性很低
      • 可疑的:被標記的物件為誤報的可能性較高
      • 未分級:分析結果不同於Highly suspicious可疑的
      如需有關IP address的值的資訊,請參閱Workbench應用程式中的警報詳細資訊。
    3. 點選Apply
    4. 如果您需要新增多個平行的Condition節點,請點選Target節點右側的新增節點(plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png)。
    5. 如果您需要為Condition節點配置處理行動設定,請點擊右側的新增節點(plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png)來新增一個處理行動節點。
      如需詳細資訊,請參閱步驟7
    6. 如果您需要配置 else-if 條件或 else 動作,請在 Condition 節點下點擊新增節點 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) 來新增 Else-If ConditionElse Action 節點。
      如需詳細資訊,請參閱步驟9
  7. 透過新增處理行動節點來配置操作。
    1. 點選Condition節點右側的新增節點(plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png),然後點選處理行動
    2. 處理行動設定面板上,選擇Workbench alert並配置對非常可疑可疑和/或未分級對象採取的自動回應操作。
      回應動作需要您已配置支援服務。欲了解詳細資訊,請參閱回應動作
      設定
      說明
      一般操作
      • Add to Block List: 將物件新增至使用者定義的可疑物件清單
      電子郵件操作
      • :對電子郵件訊息不採取任何行動
      • Delete Message:從檢測到的郵箱中刪除目標電子郵件
      • Quarantine Message:將目標電子郵件移至隔離資料夾
      檔案操作
      • Collect File:壓縮檔案並將壓縮檔發送到回應管理應用程式
      • Submit for Sandbox Analysis:將檔案傳送到沙盒分析應用程式,在虛擬沙盒環境中進行分析
        注意
        注意
        此操作需要點數並配置Sandbox Analysis應用程式。
      URL 操作
      • Submit for Sandbox Analysis:將 URL 發送到沙盒分析應用程式,以在虛擬沙盒環境中進行分析
        注意
        注意
        此操作需要點數並配置Sandbox Analysis應用程式。
      處理動作
      • Terminate Process:終止在端點上運行的「未分級」目標進程
        重要
        重要
        這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
      使用者帳號操作
      • :對使用者帳號不採取任何行動
      • Disable User Account:將使用者從所有使用者帳號的活動應用程式和瀏覽器工作階段中登出。使用者將無法登入任何新的工作階段。
      • Force Sign Out:將使用者從所有使用者帳號的活動應用程式和瀏覽器工作階段中登出。使用者不會被阻止立即重新登入已關閉的工作階段或登入新的工作階段。
      • Force Password Reset:將使用者從所有活躍的應用程式和瀏覽器會話中登出,並強制使用者在下次嘗試登入時創建新密碼
      容器操作
      • :對容器不採取任何行動
      • Isolate Container:透過將容器中的產品與環境隔離來阻止可疑行為的傳播
      • Terminate Container:通過終止 Pod 來停止 Pod 內容器的可疑行為
      雲端帳戶操作
      • Revoke Access Permission:撤銷可能被入侵的 AWS 帳戶之 IAM 使用者的存取權限
        重要
        重要
        此操作僅適用於已啟動Cloud Response for AWS功能的連接 AWS 帳戶
      端點操作
      • 隔離端點:將目標端點從網路中斷連接,但仍允許與管理 TrendAI™ 伺服器產品的通訊
      • Scan for Malware:掃瞄一個或多個受管理的端點,以檢測檔案型威脅,例如病毒、間諜程式和可能的資安威脅程式
        重要
        重要
        此操作僅在安裝了TrendAI Vision One™端點安全代理並具備Standard Endpoint Protection的端點上執行。要成功執行掃瞄惡意程式操作,端點必須符合以下要求:
        • 作業系統:僅限 Windows 或 macOS
        • 已安裝的代理程式最低版本:Windows 14.0.12962 和 macOS 3.5.7812
        • 端點狀態:端點必須是受管理的端點,且不在排除清單中,並且不能有正在進行中的掃瞄任務。
      • Run Remote Custom Script:連接到受監控的端點並執行先前上傳的 PowerShell 或 Bash 腳本檔案
        要執行自訂腳本,請完成以下步驟:
        1. 檔案類型中選擇一個腳本檔案類型。
        2. 透過點擊「Upload File」從您的本地上傳腳本檔案。然後從「檔案」中選擇您的腳本檔案。
          對於 Bash Script (.sh) 檔案類型,請在上傳您的腳本檔案之前指定作業系統。
        3. 如果您的腳本需要額外的輸入,請輸入參數。
    3. 選擇是否發送通知以請求手動批准來創建回應操作。
      重要
      重要
      超過24小時暫停中等待手動批准的操作將過期且無法執行。
    4. 如果您需要手動批准,請配置以下設置。
      設定
      說明
      通知方法
      • 電子郵件:向指定的收件人發送電子郵件通知
      • Webhook:向指定的 webhook 頻道發送通知
      主題前綴
      通知主題行開頭出現的前綴
      收件者
      收件人的電子郵件地址
      該欄位僅在您為Notification method選擇電子郵件時顯示。
      Webhook
      接收通知的 webhook 通道
      僅當您為Notification method選擇Webhook時,該欄位才會出現。
      秘訣
      秘訣
      新增 Webhook 連接,請點擊「Create channel」
    5. 點選Apply
    6. 如果您需要添加多個平行動作,請點擊「目標」「條件」節點右側的plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png
  8. 透過新增「處理行動」節點來配置通知設定。
    您可以在「目標」「條件」節點之後直接添加通知動作,而無需先配置回應動作。這使您能夠在不採取回應動作的情況下,將Workbench警報詳細資訊轉發到第三方系統
    1. 點擊前一個節點右側的新增節點 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png),然後點擊「處理行動」
    2. 處理行動設定面板上,指定如何通知收件人劇本結果。
    3. 對於電子郵件和 Webhook 通知,請配置以下設定。
      設定
      說明
      主題前綴
      通知主題行開頭出現的前綴
      收件者
      收件人的電子郵件地址
      該欄位僅在您為Notification method選擇電子郵件時顯示。
      Webhook
      接收通知的 webhook 通道
      僅當您為Notification method選擇Webhook時,該欄位才會出現。
      秘訣
      秘訣
      新增 Webhook 連接,請點擊「Create channel」
    4. 對於 ServiceNow 工單通知,請配置以下設定。
      發送有關 Playbook 執行結果的工單通知不會在 TrendAI Vision One™ 中開啟案件。
      設定
      說明
      票證設定檔
      要使用的 ServiceNow 工單配置檔
      秘訣
      秘訣
      如果您需要新增票務檔案,請點擊「Create ticket profile」
      票證設定檔
      劇本的票證設定
      選擇票證配置檔案會自動載入設定。更改設定會覆蓋劇本的票證配置檔案。
      • Assignment group: 您想要指派工單的 ServiceNow 指派群組
      • Assigned to: 您想指派工單的 ServiceNow 使用者
      • Short description: 在 ServiceNow 中顯示的工單簡短描述
    5. 如果您需要手動批准以發送 Playbook 結果,請配置通知設定。
      注意
      注意
      此設定僅適用於票務通知操作。
    6. 點選Apply
  9. 如有需要,請配置Else-If ConditionsElse Actions
    1. 點擊Condition節點下方的新增節點(plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png),然後點擊Else-If ConditionElse Action
    2. 配置條件節點或動作節點。
    • 您可以新增的節點 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) 取決於前面的節點。例如,「處理行動」 節點之後只能可能跟隨另一個 「處理行動」 節點;「條件」 節點之後可以跟隨 「處理行動」 節點,或附加 「Else-If Condition」「Else Action」
    • 當條件為假時,劇本會執行Else Action或檢查其Else-If Condition是否符合。如果Else-If Condition符合,劇本會繼續執行相應的Else Action
    • 多個處理行動節點以串行模式配置時會依次執行。
  10. 通過切換啟動控制來啟用劇本。
  11. 點選儲存
    劇本顯示在 安全劇本 應用程式的 Playbooks 標籤上。