Erstellen eines Paket-Playbooks für die Reaktion auf Ereignisse

Wenn ein Sicherheitsvorfall auf einem Gerät auftritt, können Sie die Reaktionszeit minimieren, indem Sie ein Paket-Playbook erstellen. Mit einem Paket-Playbook können Sie die Ausführung von Refract-Paketen automatisieren, wenn ein Ereignis eine Kontextanalyse-Engine (CAE)-Regel auslöst, die Sie in einem Erkennungsregelsatz konfiguriert haben.

Paket-Playbooks unterstützen ausschließlich Python-Refract-Pakete. Sie können gebrauchsfertige Refract-Pakete verwenden, die in der Verwaltungskonsole verfügbar sind, oder Sie können eigene benutzerdefinierte Refract-Pakete hinzufügen. Die Inhalte von Paket-Playbooks werden auf dem Gerät gespeichert, sodass sie auch dann ausgeführt werden können, wenn das Gerät offline ist. Sie können maximal 100 Paket-Playbooks erstellen.

  • Create a detection rule set.
  • Erstellen Sie bei Bedarf ein Python-Refraktionspaket, das auf einem Gerät ausgeführt werden kann, wenn eine Erkennungsregel ausgelöst wird. Weitere Informationen zum Erstellen eines kundenspezifischen Pakets finden Sie unter KB 42221254280219.
  • Wenn Sie Ihr eigenes Paket erstellen, müssen Sie es in die Verwaltungskonsole hochladen. Navigieren Sie in der Konsole zu CylanceOPTICS > Konfigurationen > Pakete und klicken Sie auf Datei hochladen.
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Focus > Konfigurationen und dann auf die Registerkarte Playbooks.
  2. Klicken Sie auf Playbook erstellen.
    Wenn Sie ein vorhandenes Paket-Playbook klonen möchten, filtern Sie die Playbook-Liste nach dem gewünschten Playbook und klicken auf Symbol „Klonen“.
  3. Geben Sie einen Namen und eine Beschreibung ein.
  4. Klicken Sie in der Dropdown-Liste Sammlungstyp auf den Speicherort, an dem Sie die Daten speichern möchten, die das Paket erfasst.
    • Lokal speichert die Daten unter dem angegebenen Pfad auf dem Gerät.
    • Wenn Sie SFTP, SMB oder S3 auswählen, geben Sie die erforderlichen Informationen an.
  5. Klicken Sie auf Weiter.
  6. Klicken Sie in der Dropdown-Liste Paket auf ein Paket, das in das Paket-Playbook aufgenommen werden soll. Geben Sie bei Bedarf optionale Befehlszeilenargumente an.
  7. Klicken Sie auf Ein weiteres Paket hinzufügen, um weitere Pakete hinzuzufügen. Sie können einem Paket-Playbook maximal 20 Pakete hinzufügen.
  8. Klicken Sie auf Speichern.
Klicken Sie in der Menüleiste auf Focus > Konfigurationen > Regelsätze. Bearbeiten Sie einen Erkennungsregelsatz und weisen Sie das Paket-Playbook den gewünschten Regeln zu. Klicken Sie auf Bestätigen. Sie können jeder Erkennungsregel bis zu 10 Paket-Playbooks zuordnen.