Playbooks

  • 16. September 2025
  • min Lesezeit

Übersicht
Unsere neue Playbooks-Funktion hilft Sicherheitsanalysten, gängige Aufgaben der Vorfallreaktion zu automatisieren und sie gleichzeitig in ihrem Vorfallreaktions-Workflow zu leiten. Mit Playbooks können Analysten benutzerdefinierte Abläufe für ausgewählte Ereignisse definieren. Wenn neue Ereignisse aufgezeichnet werden, überprüft die Playbook-Engine auf Übereinstimmungen und führt vordefinierte Aktivitäten aus. Ein Playbook kann im Workspace-Seitenbereich und in den Partner-Menüs erstellt werden. Nach der Erstellung können diese in einer benutzerdefinierten Reihenfolge gespeichert werden. Diese Funktion ist im Emsisoft Enterprise Security +EDR-Plan verfügbar.

Wie funktioniert es?
Die Hauptidee von Playbooks besteht darin, die eingebauten Standardverarbeitungsabläufe durch angepasste Sequenzen zu überschreiben. Sobald ein Vorfall erstellt wird, versucht das System, den Vorfall nacheinander mit den Playbook-Auslösern abzugleichen, bis eine Übereinstimmung gefunden wird. Anschließend werden die vordefinierten Aktivitäten innerhalb dieses Playbooks ausgeführt, bis das definierte Ende (komplette Behebung) erreicht ist.

Zusammen mit der allgemeinen Beschreibung haben wir hier die wesentlichen Elemente aufgelistet, die diese Funktion definieren, einschließlich ihrer vorgesehenen Verwendung, Funktionalitäten und Einschränkungen. Wir empfehlen, sich mit diesen Elementen vertraut zu machen, bevor Sie tiefer in die Nutzung einsteigen. Ein detailliertes Anwendungsbeispiel finden Sie hier.

Playbooks erstellen, bearbeiten und teilen
Ein Playbook kann im Workspace-Seitenbereich und in den Partner-Menüs erstellt werden. Nach der Erstellung können diese in einer benutzerdefinierten Reihenfolge gespeichert werden.

Sie sind von Natur aus an den Bedrohungstyp gebunden, für den sie entwickelt wurden, wobei je nach Typ (dateibasiert, hostbasiert oder payloadbasiert) unterschiedliche Funktionen verfügbar sind.

Partner und Arbeitsbereichsmitglieder können ihre eigenen Playbooks bearbeiten, alle anderen Benutzer können die Playbooks, die Emsisoft oder unsere Partner ihnen zur Verfügung gestellt haben, aktivieren, deaktivieren oder klonen.
Wenn ein Playbook geklont wird, wird es vom ursprünglichen Playbook getrennt und zukünftige Aktualisierungen des Originals werden nicht in der geklonten Version übernommen.

Standardmäßig sind die von Partnern definierten Playbooks für den Benutzer nicht sichtbar. Dies dient dazu, das geistige Eigentum des Partners bei Bedarf zu schützen. Je nach Bedarf kann ein Partner ein Playbook für seine jeweiligen Arbeitsbereiche sichtbar oder klonbar machen.

Sicherheitsanalysten können manuell beliebige Playbooks für Vorfälle auswählen und (erneut) ausführen, auch wenn zuvor bereits ein anderes Playbook zugewiesen wurde. Dies ermöglicht es, ein neu erstelltes oder aktualisiertes Playbook für eine bestimmte Bedrohung zu testen, wenn dies erforderlich ist. Bitte beachten Sie, dass für jeden Vorfall nur ein Playbook gleichzeitig ausgeführt werden kann, um widersprüchliche oder sich wiederholende Aktionen zu vermeiden. Um potenziell endlose Ausführungsschleifen zu verhindern, können verschachtelte Playbooks keine Playbooks aufrufen, von denen sie selbst aufgerufen wurden.

Ausführung
Sobald ein Vorfall erstellt wird, versucht er, den Vorfall nacheinander mit den Playbook-Triggern abzugleichen, bis eine Übereinstimmung gefunden wird. Zuerst werden die partnerspezifischen Playbooks geprüft und anschließend die, die für den jeweiligen Arbeitsbereich spezifisch sind. Dies ermöglicht eine Übereinstimmung, noch bevor die Standard-Playbooks von Emsisoft geprüft werden.

Für jeden Vorfall wird nur das erste übereinstimmende Playbook ausgeführt, alle folgenden Playbooks werden ignoriert. Daher empfehlen wir, die Playbooks von den detailliertesten zu den allgemeinsten zu sortieren. Vorfälle protokollieren, welches Playbook automatisch zugeordnet oder manuell zugewiesen wurde, sowie den aktuellen Schritt oder Haltepunkt innerhalb des Playbooks.

Playbooks laufen, bis eine der folgenden Bedingungen erfüllt ist:

Elemente und ihre Funktionen
Das Playbook-Panel zeigt die folgenden Elemente auf der linken Seite an:

Oben rechts im Playbook-Fenster finden Sie außerdem die Debugger-Schaltfläche.
Jedes dieser Elemente kann per Drag-and-Drop in das Playbook-Fenster gezogen, angeordnet und miteinander verknüpft werden. Durch Doppelklicken auf ein platziertes Element werden gemeinsame Felder angezeigt, die angepasst werden können.

Auf dem Board können Elemente außerdem über die Schaltflächen Entfernen (X) und Verbinden (>) verwaltet werden. Entfernen löscht das Element und seine Einstellungen, während Verbinden genutzt wird, um Elemente in der gewünschten Reihenfolge zu verknüpfen.

Benutzerdefinierte Notiz
Immer wenn Sie eine Notiz im Playbook hinzufügen möchten, können Sie einfach das Element „Benutzerdefinierte Notiz“ auf das Board ziehen. Durch Doppelklick können Sie Ihre Kommentare im Beschreibungsfeld eintragen. Dies ist besonders nützlich, um das Playbook besser zu organisieren und zu dokumentieren.

Alarm
Dieses Element wird verwendet, um einem Vorfall einen neuen benutzerdefinierten Alarm hinzuzufügen.
Es ermöglicht Ihnen, einen Namen für die Bedrohung zu definieren sowie eine andere Schwere zuzuweisen. Wenn Sie auf „Benutzerdefiniertes Feld hinzufügen“ klicken, zeigt das Alarm-Element außerdem ein Eingabefeld für den Namen und ein weiteres für den Wert an (Einzelwert oder Regex).

Sie können auf den blau hervorgehobenen Text zwischen den Feldern klicken, um den Operator wie folgt zu ändern:

Vorfall-Update
Mit diesem Element können Sie die Schwere des auslösenden Vorfalls, dessen Urteil sowie zusätzliche Notizen aktualisieren. Sobald Sie auf ein Datenfeld klicken, können Sie auswählen, welchen Teil des Vorfalls Sie aktualisieren möchten, indem Sie zwischen Schweregrad, Urteil und Notizen wählen. Jede dieser Auswahlen verwandelt das Feld „Zuweisen“ in ein Dropdown-Menü mit den entsprechenden Optionen.

Wie das Element „Alarm“ bietet auch „Vorfall-Update“ die Möglichkeit, ein benutzerdefiniertes Feld hinzuzufügen.

Manuelle Aktion
Verwenden Sie dieses Element, um einen Haltepunkt in der Ausführung einzufügen, der eine Benutzeraktion erfordert, damit die Ausführung des Playbooks fortgesetzt werden kann.
Ein typischer Anwendungsfall ist, wenn der Benutzer einen Vorfall überprüfen muss, bevor die Bereinigung automatisch angewendet wird, oder wenn der Benutzer bestätigen muss, dass es sich bei einer Bedrohung um ein Fehlalarm handelt.
Die erforderliche Aktion wird auf der Seite Vorfallsdetails des Arbeitsbereichs angezeigt.
Wir empfehlen, vor dem Element „Manuelle Aktion“ ein Benachrichtigungselement hinzuzufügen, um den Benutzer automatisch über die erforderliche Aktion zu informieren.

Bereinigung
Dieses Element führt eine oder mehrere Bereinigungsaktionen aus. Es ist nur bei dateibasierten Vorfällen verfügbar (z. B. keine Webschutz-Vorfälle) und bietet die folgenden Optionen:

Bitte beachten Sie, dass, wenn Rollback aktiviert und verfügbar ist, die Isolation und Quarantäne zuerst abgeschlossen werden. Danach wird das Playbook für eine manuelle Genehmigung angehalten.

Benachrichtigung
Dieses Element löst eine benutzerdefinierte Benachrichtigung an ein angegebenes Ziel aus, entweder per E-Mail oder per Webhook.
Sie können diese Benachrichtigungen direkt im Feld E-Mail-Text anpassen.
Mit doppelten Klammern „{{“ öffnen Sie eine Liste mit Autovervollständigungsoptionen, die alle möglichen Ausführungskontextfelder und Integrationsschemata enthält.

Zum Empfänger
Sie können eine durch Kommas getrennte Liste von E-Mail-Adressen verwenden, allerdings muss eine Ziel-E-Mail-Adresse innerhalb des Arbeitsbereichs über eine Rolle verfügen, um Benachrichtigungen empfangen zu können.

Bitte beachten Sie: Wenn ein Playbook mit diesem Element aus einem übergeordneten Kontext geklont wurde (z. B. wenn ein Arbeitsbereichsbenutzer das Playbook eines Partners geklont hat), bleiben die Benachrichtigungseinstellungen gleich. Allerdings sind Webhook-Headerwerte und Syslog-Zertifikate für den Benutzer nicht zugänglich und müssen von ihm geändert werden.

Bedingung
Dieses Element ermöglicht es Ihnen, die Logik zu entwerfen, nach der sich Ihr Playbook verhält, indem bestimmte Bedingungen gegen Logikblöcke geprüft werden.
Dieses Element zeigt ein Bedingungsfeld, einen in Blau hervorgehobenen Operator-Auswahlschalter in der Mitte und ein Wertefeld auf der rechten Seite an.

Durch Klicken auf das erste Feld zeigt das Bedingungsfeld alle möglichen Auswahloptionen an. Sobald Sie eine dieser Optionen auswählen, ändern sich automatisch der zugehörige Operator und der Wert, um diese Option widerzuspiegeln.

Richtlinien-Update
Dieses Element ermöglicht es Ihnen, sowohl Ihre Überwachungs- als auch Ihre Scan-Ausschlüsse zu ändern – auf Geräte-, Arbeitsbereichs- oder Partnerrichtlinien-Ebene.
Ein klassisches Beispiel für die Verwendung dieses Elements ist, wenn ein Sicherheitsanalyst ein Programm untersucht, das vom Behavior Blocker gemeldet wurde, und es als Fehlalarm bestätigt.
In diesem Fall kann er dieses Element verwenden, um den Dateipfad zu den Überwachungsausschlüssen hinzuzufügen, um künftige Fehlalarme derselben Quelle zu vermeiden.

Verzögerung (Delay)
Dieses Element führt eine absichtliche Verarbeitungsverzögerung ein, die nützlich ist, wenn es notwendig ist, auf bestimmte Bedingungen zu warten, bis sich diese ändern.
Ein klassisches Beispiel ist, wenn ein Playbook warten muss, bis mehr Daten verfügbar sind, um sinnvolle Entscheidungen zu treffen; oder wenn ein langfristiges Playbook-Framework verwendet wird, um eine Reihe von verschachtelten Playbooks über einen längeren Zeitraum hinweg auszuführen.

Sie können die Dauer der Verzögerung festlegen und deren Wert in Sekunden, Minuten, Stunden oder Tagen auswählen.

Threat Intelligence Quelle (Threat intelligence source)
Dieses Element sendet Incident-Datenfelder an eine externe Web-API und fügt ausgewählte Antwortfelder zum Incident hinzu. Dies ist besonders nützlich, um mehr Einblicke in Incidents mit zusätzlichen Indicators of Compromise (IoC), Blocklisten und Anreicherungsquellen zu gewinnen.
Die Analysten können Daten direkt aus API-Antworten extrahieren, um weitere Entscheidungen zu treffen und die Verarbeitung des Incidents zu steuern.

Sie können die relevante Methode auswählen, indem Sie zwischen GET/POST/PUT wählen.
Das Source-Feld bietet eine umfassende Liste von Autovervollständigungsoptionen, auf die Sie mit den doppelten Klammern “{{” zugreifen können. Die gleiche Autovervollständigungsfunktionalität ist auch für das Body-Feld verfügbar, die für die Methoden POST und PUT bereitgestellt wird.

Sie können zwischen Basic– und HTTP-Auth-Typ im dafür vorgesehenen Feld wählen.
Schließlich bietet dieses Element die Möglichkeit, benutzerdefinierte Header, Datenzuordnungen und Abfragen (Query) hinzuzufügen.

Debugger
Auf der rechten Seite des Feldes „Playbook“ finden Sie die Schaltfläche „Debugger“. Klicken Sie darauf, um das Debugging-Panel zu öffnen, und wählen Sie dann einen Vorfall als Ausgangspunkt für das Debuggen des Playbooks aus.
Das Panel zeigt auch den Vorfallkontext und die Protokolle der Debugging-Sitzungen an und hebt dabei etwaige Fehler im Ablauf hervor.

No votes yet.
Please wait...

Weitere Artikel

Newsletter

Malware kennt keine Pausen. Bleiben Sie immer über die neuesten Bedrohungen auf dem Laufenden.

Emsisoft » Help » Support » Playbooks