Playbooks

Aperçu
Notre nouvelle fonctionnalité Playbooks aide les analystes en sécurité à automatiser les tâches courantes de réponse aux incidents et à les guider dans leur flux de travail de réponse aux incidents. Grâce aux Playbooks, les analystes peuvent définir des flux personnalisés pour des événements sélectionnés. Lorsque de nouveaux événements sont enregistrés, le moteur de Playbook vérifie les correspondances et exécute les activités prédéfinies. Un Playbook peut être créé dans le panneau latéral de l’espace de travail et dans les menus partenaires. Une fois créé, il peut être stocké dans un ordre défini par l’utilisateur. Cette fonctionnalité est disponible dans le plan Emsisoft Enterprise Security +EDR.

Comment cela fonctionne-t-il ?
L’idée principale des Playbooks est de pouvoir remplacer les flux de traitement par défaut intégrés par des séquences personnalisées. Lorsqu’un incident est créé, le système tente de faire correspondre l’incident avec les déclencheurs du Playbook de manière séquentielle jusqu’à ce qu’une correspondance soit trouvée. Il exécutera ensuite les activités prédéfinies conçues dans ce Playbook jusqu’à ce qu’il atteigne sa fin définie (remédiation complète).

Avec la description générale, nous avons ici listé les éléments essentiels qui définissent cette fonctionnalité, ainsi que son utilisation prévue, ses fonctionnalités et ses limites. Nous recommandons de se familiariser avec ces éléments avant de l’utiliser en profondeur. Vous pouvez également consulter un cas d’utilisation détaillé ici.

Créer, modifier et partager des Playbooks
Un Playbook peut être créé dans le panneau latéral de l’espace de travail et dans les menus partenaires. Une fois créé, il peut être stocké dans un ordre défini par l’utilisateur.

Ils sont intrinsèquement liés au type de menace pour lequel ils ont été conçus, avec différentes fonctionnalités disponibles en fonction du type (basé sur les fichiers, l’hôte ou la charge utile).

Les partenaires et les membres de l’espace de travail peuvent modifier leurs propres playbooks, tandis que tout autre utilisateur peut activer, désactiver ou cloner les playbooks qu’Emsisoft ou nos partenaires ont mis à leur disposition.
Lorsqu’un playbook est cloné, il est détaché du playbook original et les futures mises à jour de l’original ne seront pas appliquées à la version clonée.

Par défaut, les playbooks définis par les partenaires ne sont pas visibles par l’utilisateur. Cela permet de protéger la propriété intellectuelle du partenaire si nécessaire. Selon leurs besoins, un partenaire peut rendre un playbook visible ou clonable pour ses espaces de travail associés.

Les analystes de sécurité peuvent sélectionner et exécuter (ou réexécuter) manuellement n’importe quel playbook pour un incident, même si un autre playbook avait déjà été assigné auparavant. Cela permet de tester un playbook nouvellement créé ou mis à jour pour une menace spécifique, si nécessaire. Veuillez noter que chaque incident ne peut exécuter qu’un seul playbook à la fois afin d’éviter des actions conflictuelles ou en boucle. Pour éviter des boucles d’exécution infinies, les playbooks imbriqués ne peuvent pas invoquer ceux qui les ont eux-mêmes invoqués.

Exécution
Une fois qu’un incident est créé, il essaiera de le comparer aux déclencheurs de playbook un par un, jusqu’à trouver une correspondance. Il examinera d’abord les playbooks spécifiques aux partenaires, puis ceux propres à l’espace de travail. Cela permet de trouver une correspondance avant même d’utiliser ceux par défaut d’Emsisoft.

Seul le premier playbook correspondant est exécuté pour chaque incident, tous les suivants sont ignorés. Pour cette raison, nous recommandons d’organiser les playbooks du plus spécifique au plus générique. Les incidents conservent une trace du playbook qui a été automatiquement appliqué ou attribué manuellement, ainsi que de l’étape ou du point d’arrêt en cours dans le playbook.

Les playbooks s’exécutent jusqu’à l’une des conditions suivantes :

• Atteindre l’une des fins définies (ex. : « remédiation terminée »).

• Atteindre un point d’arrêt manuel nécessitant une action humaine (ex. : confirmation d’un faux positif, action de remédiation personnalisée, etc.).

• Atteindre un élément invalide dans un playbook. L’exécution est alors mise en pause, comme pour un point d’arrêt manuel. L’interface signale l’erreur en rouge et l’utilisateur peut accéder directement à l’élément défectueux pour le corriger.

• Invoquer un playbook imbriqué : le playbook en cours est mis en pause jusqu’à la fin du playbook imbriqué.

Éléments et leurs fonctionnalités
Le panneau Playbook affiche les éléments suivants sur la gauche :

• Note personnalisée

• Alerte

• Mise à jour d’incident

• Action manuelle

• Remédiation

• Notification

• Condition

• Mise à jour de stratégie

• Délai

• Source de renseignement sur les menaces

Vous trouverez également le bouton Débogueur en haut à droite de la fenêtre du Playbook.
Chacun de ces éléments peut être glissé-déposé dans la fenêtre du playbook, arrangé et relié aux autres. Un double-clic sur un élément placé affiche une série de champs communs, que vous pouvez modifier pour mieux répondre à vos besoins.

• Champ Nom : pour étiqueter l’élément et l’identifier facilement.

• Champ Description : pour donner une explication détaillée de son objectif.

• Activé : permet de désactiver l’élément sans le supprimer du flux.

• Ignorer lors du test : utile pour isoler certains éléments lors des tests.

• Menu d’action en cas d’erreur : pour définir si l’élément doit interrompre le flux ou simplement être ignoré.

• Bouton Enregistrer : pour sauvegarder les modifications apportées à l’élément.

Une fois placé sur le tableau, chaque élément comporte également les boutons Supprimer (X) et Connecter (>). Supprimer permet de retirer l’élément et ses paramètres, tandis que Connecter permet de lier un élément à un autre dans l’ordre d’exécution souhaité.

Note personnalisée
Chaque fois que vous souhaitez laisser une note dans le playbook, il suffit de faire glisser l’élément « Note personnalisée » sur le tableau. Double-cliquez pour ajouter vos commentaires dans le champ description. Cela est particulièrement utile pour mieux organiser et documenter le playbook.

Alerte
Cet élément est utilisé pour ajouter une nouvelle alerte personnalisée à un incident.
Il vous permet de définir un nom pour la menace, ainsi que d’attribuer un niveau de gravité différent. Lorsque vous cliquez sur « Ajouter un champ personnalisé », l’élément Alerte affichera également un champ de saisie pour le nom et un autre pour la valeur (valeur unique ou regex).

Vous pouvez cliquer sur le texte en bleu mis en évidence entre eux pour modifier l’opérateur comme suit :

• Pour les chaînes : vous pouvez choisir entre Attribuer et Ajouter au tableau.

• Pour les nombres : vous pouvez choisir entre Attribuer, Ajouter au tableau, Incrémenter et Soustraire.

Mise à jour d’incident
Cet élément vous permet de mettre à jour le niveau de gravité de l’incident déclencheur, son verdict ainsi que des notes supplémentaires. Une fois que vous cliquez sur un champ de données, vous pourrez choisir quelle partie de l’incident mettre à jour, en sélectionnant entre Gravité, Verdict et Notes. Chacune de ces sélections transforme le champ « Attribuer » en un menu déroulant avec les options correspondantes.

Comme l’élément « Alerte », « Mise à jour d’incident » offre également la possibilité d’ajouter un champ personnalisé.

Action manuelle
Utilisez cet élément pour introduire un point d’arrêt dans l’exécution qui nécessite une action de l’utilisateur afin de reprendre l’exécution du playbook.
Un cas d’utilisation typique est lorsque l’utilisateur doit examiner un incident avant que la remédiation ne soit automatiquement appliquée, ou lorsque l’utilisateur doit confirmer qu’une menace est un faux positif.
L’action requise est affichée sur la page Détails de l’incident de l’espace de travail.
Nous recommandons d’ajouter un élément de notification avant l’élément « Action manuelle » afin de notifier automatiquement l’utilisateur de l’action requise.

Remédiation
Cet élément exécute une ou plusieurs actions de remédiation. Il est disponible uniquement dans les incidents basés sur des fichiers (par ex. : pas pour les incidents de protection Web) et propose les options suivantes :

• Isolation de l’appareil

• Fin de l’isolation de l’appareil

• Mise en quarantaine de la menace

• Restauration (Rollback) de la menace

Veuillez noter que lorsque l’option Rollback est activée et disponible, les parties Isolation et Quarantaine de la remédiation s’exécutent d’abord, puis le playbook est mis en pause pour une approbation manuelle.

Notification
Cet élément déclenche une notification personnalisée vers une cible spécifiée, en utilisant l’option Email ou Webhook.
Vous pouvez ensuite personnaliser ces notifications directement dans le champ Corps de l’email.
En utilisant les doubles accolades « {{ », vous ouvrez une liste d’options d’autocomplétion contenant tous les champs possibles du contexte d’exécution et les schémas d’intégration.

Concernant le destinataire
Vous pouvez utiliser une liste d’adresses e-mail séparées par des virgules, mais une adresse e-mail cible doit avoir un rôle dans l’espace de travail afin de pouvoir recevoir des notifications.

Veuillez noter que si un playbook contenant cet élément a été cloné à partir d’un contexte supérieur (par ex. : un utilisateur d’espace de travail clonant le playbook d’un partenaire), les paramètres de notification restent identiques, mais les valeurs d’en-tête de webhook et les certificats syslog ne sont pas accessibles pour l’utilisateur et doivent être modifiés.

Condition
Cet élément vous permet de concevoir la logique sur laquelle votre playbook se base, en testant certaines conditions par rapport à des blocs logiques.
Cet élément présente une boîte de condition, un sélecteur d’opérateur en bleu au milieu et une boîte de valeur sur le côté droit.

En cliquant sur le premier champ, la boîte de condition vous présentera toutes les sélections possibles. Dès que vous choisissez l’une de ces options, l’opérateur et la valeur correspondants seront automatiquement ajustés pour refléter ce choix.

Mise à jour de la politique
Cet élément vous permet de modifier à la fois vos exclusions de surveillance et vos exclusions d’analyse, que ce soit au niveau Appareil, Espace de travail ou Partenaire.
Un exemple classique d’utilisation de cet élément est lorsqu’un analyste de sécurité examine un programme signalé par le Behavior Blocker et le confirme comme un faux positif.
Il peut alors utiliser cet élément pour ajouter le chemin du fichier aux exclusions de surveillance, afin d’éviter de futurs faux positifs provenant de la même source.

Délai (Delay)
Cet élément introduit un délai de traitement intentionnel, utile lorsqu’il est nécessaire d’attendre que certaines conditions changent.
Un exemple classique est lorsqu’un playbook doit attendre que davantage de données soient disponibles pour pouvoir prendre des décisions utiles ; ou lorsqu’un cadre de playbook à long terme est utilisé pour exécuter une série de playbooks imbriqués sur une période prolongée.

Vous pouvez définir la durée du délai et choisir sa valeur en secondes, minutes, heures ou jours.

Source de renseignement sur les menaces (Threat intelligence source)
Cet élément envoie des champs de données d’incident à une API web externe et ajoute des champs de réponse sélectionnés à l’incident. Cela est particulièrement utile pour enrichir les incidents avec des indicateurs de compromission (IoC) supplémentaires, des listes de blocage et d’autres sources d’enrichissement.
Les analystes peuvent extraire directement des données des réponses API afin de prendre d’autres décisions et de poursuivre le traitement de l’incident.

Vous pouvez sélectionner la méthode pertinente en choisissant parmi GET/POST/PUT.
Le champ Source propose une liste complète d’options d’autocomplétion, accessible via les doubles accolades “{{”. La même fonctionnalité d’autocomplétion est disponible pour le champ Body, qui est utilisé pour les méthodes POST et PUT.

Vous pouvez choisir entre les types d’authentification Basic et HTTP Auth dans le champ dédié.
Enfin, cet élément offre la possibilité d’ajouter des en-têtes personnalisés, des mappages de données et des requêtes (Query).

Débogueur
Sur le côté droit du champ « Playbook », vous trouverez le bouton « Débogueur ». Cliquez dessus pour ouvrir le panneau de débogage, puis sélectionnez un incident comme point de départ pour le débogage du playbook.
Le panneau affiche également le contexte de l’incident et les journaux des sessions de débogage, en mettant en évidence toute erreur dans le flux.