WebsiteLoginKostenloser TestzugangCommunity

Security Orchestration (SOAR)

KI Überwachung

Playbooks

SIEM-Playbooks dienen der Automatisierung und Standardisierung von Reaktionen auf sicherheitsrelevante Ereignisse. Sie definieren wiederholbare Abläufe, mit denen Alarme effizient bewertet, priorisiert und behandelt werden können. Playbooks helfen Ihnen Vorfälle konsistent nach festgelegten Richtlinien bearbeiten zu können. Durch die Automatisierungsmöglichkeiten steigern Sie sowohl Ihre Reaktionsgeschwindigkeit als auch die Qualität dieser.

Zur Übersicht gelangen Sie über SIEM – Security Orchestration (SOAR) – Playbooks.

Hier finden Sie eine Übersicht aller angelegter Playbooks. Um einen oder mehrere Einträge zu löschen, klicken Sie die Checkbox neben einem Eintrag an, um diesen zu markieren. Klicken Sie anschließend auf den "Löschen" Button am oberen rechten Bildschirm.

Playbook hinzufügen

Um ein neues Playbook zu erstellen klicken Sie in der rechten oberen Ecke auf „Playbook hinzufügen“. Danach gelangen Sie in die Startansicht des Playbook Builders.

  1. Vergeben Sie direkt einen Namen und eine kurze Beschreibung, um Ihr Playbook später schnell identifizieren zu können.

  2. Erstellen Sie Ihr Playbook nach den im folgenden Abschnitt beschriebenen Schritten.

  3. Sichern Sie abschließend Ihr Playbook ab. Klicken Sie hierfür auf den Button „Änderungen speichern “.

Startpunkt

Als Startpunkt eines Playbooks wird ein ausgelöster Workflow, also ein spezifisches Ereignis, verstanden. Wie Sie einen Workflow anlegen, erfahren Sie hier.

Um einen Startpunkt für Ihr Playbook auszuwählen, klicken Sie auf die Schaltfläche „Select Trigger“. Es öffnet sich nun das folgende Fenster:

Workflow

  1. Wählen Sie aus dem Startobjekt die Option Workflow aus.

  2. Geben Sie unter Workflow nun den Namen des von Ihnen gewählten Workflows ein oder klicken Sie in das Feld, um aus der Dropdown-Liste den entsprechenden Eintrag auszuwählen.

Um einen bereits definierten Startpunkt zu ändern, klicken Sie auf das Bearbeitungssymbol neben dem Feld und gehen Sie wie zuvor beschrieben vor.

Kontext

Unter Kontext wird der Rahmen für das weitere Playbook definiert. Hier können Sie Primär- und Sekundärfelder festlegen. Diese dienen der Definition relevanter Felder für die Weiterverarbeitung innerhalb des Playbooks.

  1. Ziehen Sie via Drag and Drop eine Kontext Node auf die Bearbeitungsfläche.

  2. Verknüpfen Sie diese mit dem Startpunkt. Führen Sie hierfür Ihre Maus über den pulsierenden Punkt auf der oberen Seite der Kontext Node. Daraufhin wird der Cursor zu einem Kreuz. Ziehen Sie nun mit gedrücktem Cursor eine Verbindung zum Startpunkt. Verbinden Sie diesen mit dem rechten Punkt des Startpunktes, so definieren Sie im Weiteren das Vorgehen für einen erfolgreichen Workflow. Verbinden Sie Ihn mit dem linken Punkt, so definieren Sie das Vorgehen im Falle eines fehlgeschlagenen Workflows.

  3. Wählen Sie das Bearbeiten-Symbol, welches neben der Kontext Node erscheint, wenn Sie mit dem Cursor darüber fahren. Daraufhin öffnet sich das folgende Fenster:

  4. Klicken Sie nun auf die Schaltfläche „Variable hinzufügen“.

  5. Vergeben Sie einen eindeutigen Variablennamen.

  6. Geben Sie unter „Feldname“ ein Feld ein oder klicken Sie auf das Feld, um aus der Dropdown Liste den entsprechenden Eintrag auszuwählen.

  7. Definieren Sie nun, ob das Feld als Primär oder Sekundärfeld angelegt werden soll.

    1. Primärfelder Primärfelder dienen der Zusammenfassung von Logs mit selben Werten in diesen Feldern. Dies minimiert die Datenmenge und bereitet die relevanten Daten für die gezielte Weiterverarbeitung vor.

    2. Sekundärfelder Sekundärfelder dienen NICHT zur Zusammenfassung der Logs. Diese werden lediglich als Zusatzinformationen an die Primärfelder angehangen.

      1. Wählen Sie unter „Aggregator“ außerdem zwischen Array und Set: Array Speichern der Werte in einer geordneten Liste. Mehrfachnennungen sind möglich. Set Speichern der Werte in einer Menge ohne Duplikate.

  8. Nach erfolgreicher Definition fügen Sie Ihre Variable, mittels Klick auf „Übernehmen“ an Ihre Kontext Node hinzu.

  9. Wiederholen Sie Schritt 4-8, bis alle für Sie relevanten Felder hinterlegt wurden.

  10. Schließen Sie die Definition Ihres Kontextes durch Klick auf „Übernehmen“ ab.

Um einen bereits definierten Kontext zu ändern, klicken Sie auf das Bearbeitungssymbol neben dem Feld und gehen Sie wie zuvor beschrieben vor. Weiterhin haben Sie die Option die Kontext Node zu kopieren oder diese zu löschen.

Daten Manipulation - Filter

Nutzen Sie die Filter Node, wenn Sie die gesammelten Daten weiter auf relevante Werte reduzieren wollen. Fügen Sie beliebig viele Bedingungen hinzu und schaffen Sie eine zielgerichtete Daten Aggregation.

  1. Ziehen Sie via Drag and Drop eine Filter Node auf die Bearbeitungsfläche.

  2. Verknüpfen Sie diese mit einer Data Manipulation oder Actions Node.

  3. Wählen Sie das Bearbeiten-Symbol, welches neben der Filter Node erscheint, wenn Sie mit dem Cursor darüber fahren. Daraufhin öffnet sich das folgende Fenster:

  4. Fügen Sie Ihrem Filter, durch Klick auf „+Bedingung“ eine Bedingung hinzu.

  5. Kontextvariable Wählen Sie unter Kontextvariable nun eine der zuvor in der Kontext Node festgelegten Variablen aus.

  6. Operator Wählen Sie anschließend unter „Operator“ aus den Optionen:

    1. Gleich Alle Daten, die dem im folgenden definiertem Wert entsprechen, werden beachtet.

    2. Ungleich Alle Daten, die nicht dem im folgenden definiertem Wert entsprechen, werden beachtet.

    3. Regulärer Ausdruck Es werden alle Daten beachtet, die dem angegebenen Suchmuster (RegEx) entsprechen. Damit lassen sich komplexe Muster und Teilstrings abgleichen, z. B. mehrere Schreibweisen oder Textteile.

  7. Bedingungen Fügen Sie Ihrem Filter durch Klick auf „+Bedingung“ eine oder mehrere Bedingungen hinzu. Dabei können Sie die Bedingungen mit „Und“ oder „Oder“ kombinieren:

    1. Und Die Daten müssen alle mit entsprechenden Bedingungen erfüllen, um behalten zu werden.

    2. Oder Die Daten müssen mindestens eine der Bedingungen erfüllen, um behalten zu werden.

  8. Unterbedingungen Durch Klick auf „+Unterbedingung“ können Bedingungen zusätzlich durch Unterbedingungen erweitert werden. Gehen Sie vor wie in den Schritten 5-7 beschrieben.

  9. Schließen Sie die Konfiguration Ihres Filters durch Klick auf „Übernehmen“ ab.

Daten Manipulation - Entscheidungen

Nutzen Sie die Decision Node, wenn Sie auf Basis von Bedingungen unterschiedliche Pfade im Ablauf steuern möchten. Definieren Sie If- sowie If-Else-Zweige und sichern Sie den Prozess mit einem Else-Fallback ab.

  1. Ziehen Sie via Drag and Drop eine Decision Node auf die Bearbeitungsfläche.

  2. Verknüpfen Sie diese mit einer bestehenden Node.

  3. Wählen Sie das Bearbeiten-Symbol, welches neben der Decision Node erscheint, wenn Sie mit dem Cursor darüberfahren. Daraufhin öffnet sich das folgende Fenster:

  4. Erstellen Sie neue Regeln, indem Sie auf „+Entscheidung hinzufügen“ klicken.

  5. Vergeben Sie einen eindeutigen Namen für Ihre Bedingung.

  6. Kontextvariable Wählen Sie unter Kontextvariable nun eine der zuvor in der Kontext Node festgelegten Variablen aus.

  7. Operator Wählen Sie anschließend unter „Operator“ aus den Optionen:

    1. Gleich Alle Daten, die dem im folgenden definiertem Wert entsprechen, werden beachtet.

    2. Ungleich Alle Daten, die nicht dem im folgenden definiertem Wert entsprechen, werden beachtet.

    3. Regulärer Ausdruck Es werden alle Daten beachtet, die dem angegebenen Suchmuster (RegEx) entsprechen. Damit lassen sich komplexe Muster und Teilstrings abgleichen, z. B. mehrere Schreibweisen oder Textteile.

  8. Bedingungen Fügen Sie Ihrer Decision durch Klick auf „+Bedingung“ eine oder mehrere Bedingungen hinzu. Dabei können Sie die Bedingungen mit „Und“ oder „Oder“ kombinieren:

    1. Und Die Daten müssen alle mit entsprechenden Bedingungen erfüllen, um behalten zu werden.

    2. Oder Die Daten müssen mind. Eine der Bedingungen erfüllen, um behalten zu werden.

  9. Unterbedingungen Durch Klick auf „+Unterbedingung“ können Bedingungen zusätzlich durch Unterbedingungen erweitert werden. Gehen Sie vor wie in den Schritten 5-7 beschrieben.

  10. Klicken Sie „+Entscheidung hinzufügen“, um bei Bedarf weitere Entscheidungen zu erstellen. Pro angelegte Entscheidung haben Sie im weiteren Verlauf die Möglichkeit den Umgang mit dieser individuell zu definieren.

11. Schließen Sie die Konfiguration Ihres Filters durch Klick auf „Übernehmen“ ab.

Aktionen - Aktion

Nutzen Sie die Action Node, um bei Eintritt bestimmter Bedingungen automatisch eine definierte Aktion auszuführen, z. B. das Versenden eines Webhooks oder einer Benachrichtigung.

  1. Ziehen Sie via Drag and Drop eine Action Node auf die Bearbeitungsfläche.

  2. Verknüpfen Sie diese mit einer bestehenden Node.

  3. Wählen Sie das Bearbeiten-Symbol, welches neben der Action Node erscheint, wenn Sie mit dem Cursor darüberfahren. Daraufhin öffnet sich das folgende Fenster:

  4. Wählen Sie im oberen Bereich die gewünschte Aktion (z. B. Webhook).

  5. Unter „Methode“ legen Sie fest, welche http-Methode verwendet wird. Zur Auswahl stehen hier: Get Ruft Daten von der angegebenen URL ab. Post Sendet Daten an die URL (z. B. zum Erstellen neuer Ressourcen). Put Überschreibt vorhandene Daten an der URL vollständig. Patch Aktualisiert vorhandene Daten teilweise. Delete Löscht Daten an der angegebenen URL.

  6. Unter „Base-URL geben Sie die Adresse des Ziels an, an das die Aktion ausgeführt bzw. die Daten gesendet werden sollen.

  7. Nutzen Sie „+HTTP-Header hinzufügen“, um einen neuen HTTP-Header zu definieren. Diese ermöglichen es, wichtige Zusatzinformationen an den Empfänger Ihrer Anfrage zu übergeben. Erstellen Sie beliebig viele Header durch Klick auf die Schaltfläche.

  8. Tragen Sie unter „Name“ die Bezeichnung Ihres Headers und unter „Wert“ den Inhalt dieses ein.

  9. Unter „Anfrage-Body“ können Sie nun den Inhalt der Anfrage. Per Drag and Drop können Sie die Platzhalter aus dem Bereich Bodyvariablen in Ihren Text integrieren.

  10. Speichern Sie Ihre Konfiguration durch einen Klick auf „ÜBERNEHMEN“ ab.

Aktionen - LLM

  1. Ziehen Sie via Drag and Drop eine LLM Node auf die Bearbeitungsfläche.

  2. Verknüpfen Sie diese mit einer bestehenden Node.

  3. Wählen Sie das Bearbeiten-Symbol, welches neben der LLM Node erscheint, wenn Sie mit dem Cursor darüber fahren. Daraufhin öffnet sich das folgende Fenster:

  4. Wählen Sie unter „LLM Provider“ einen der zuvor unter Security Orchestration (SOAR) – LLM Provider hinzugefügten Anbieter aus. Wie Sie einen LLM Provider anlegen erfahren Sie hier.

  5. Wählen Sie im Folgenden die durch das LLM durchzuführende Aktion. Zur Auswahl stehen:

    1. Zusammenfassung Nutzen Sie diese Kategorie, um Log-Daten automatisch und kontextbezogen zusammenfassen zu lassen. Alle dafür relevanten Informationen werden dem LLM im Hintergrund bereitgestellt.

    2. Entscheidung Wählen Sie diese Kategorie, wenn das LLM anhand definierter Vorgaben eine Entscheidung treffen soll. Die möglichen Optionen legen Sie selbst im unteren Bereich fest.

    3. Benutzerdefiniert Diese Kategorie ermöglicht es Ihnen, eigene Fragen oder Problemstellungen frei zu formulieren und vom LLM beantworten zu lassen.

Folgen Sie anschließend je nach gewähltem Vorgehen der entsprechenden Anleitung:

Zusammenfassung

  1. Unter „Zusätzlicher Prompt“ haben Sie die Option Ihre Zusammenfassung weiter zu individualisieren. Geben Sie hierfür Ihrem LLM zusätzliche Anweisungen.

  2. Das Aktivieren von „Gedankengang anzeigen“ ermöglicht es Ihnen die Schritte und Entscheidungswege des LLM nachzuvollziehen.

  3. Aktivieren Sie „Tool-Aufrufe aktivieren“, um Ihrem LLM die Nutzung externer Referenzen (Websuche, Datenbanken, usw.) zu ermöglichen.

Entscheidung

  1. Geben Sie unter „zusätzlicher Prompt“ ihrem LLM weiteren Input mit.

  2. Das Aktivieren von „Gedankengang anzeigen“ ermöglicht es Ihnen die Schritte und Entscheidungswege des LLM nachzuvollziehen.

  3. Aktivieren Sie „Tool-Aufrufe aktivieren“, um Ihrem LLM die Nutzung externer Referenzen (Websuche, Datenbanken, usw.) zu ermöglichen.

  4. Erstellen Sie beliebig viele Entscheidungen durch Klick auf „ENTSCHEIDUNG HINZUFÜGEN“. Definieren Sie unter „Entscheidungen“ durch das LLM zutreffende Konsequenzen auf Basis von Entscheidungskriterien.

  5. Vergeben Sie unter „Beschriftung“ einen klaren Namen für den Entscheidungspfad.

  6. Geben Sie unter „Entscheidungskriterium“ einen Prompt ein auf Basis dessen das LLM Entscheidungen trifft.

  7. Unter „Erweiterte Einstellungen“ geben Sie nun einen „Timeout“ ein, nach welchem automatisiert die Default Aktion greift.

  8. Schließen Sie die Konfiguration Ihrer Entscheidung durch Klick auf „Übernehmen“ ab.

Benutzerdefiniert

  1. Verfassen Sie unter „Prompt“ mögliche Fragen oder Problemstellungen, welche anhand der eingehenden Daten von Ihrem LLM beantwortet werden können.

  2. Das Aktivieren von „Gedankengang anzeigen“ ermöglicht es Ihnen die Schritte und Entscheidungswege des LLM nachzuvollziehen.

  3. Aktivieren Sie „Tool-Aufrufe aktivieren“, um Ihrem LLM die Nutzung externer Referenzen (Websuche, Datenbanken, usw.) zu ermöglichen.

Aktionen - Benachrichtigungen

  1. Ziehen Sie via Drag and Drop eine Action Node auf die Bearbeitungsfläche.

  2. Verknüpfen Sie diese mit einer bestehenden Node.

  3. Wählen Sie das Bearbeiten-Symbol, welches neben der Action Node erscheint, wenn Sie mit dem Cursor darüberfahren. Daraufhin öffnet sich das folgende Fenster:

  4. Geben Sie unter „Betreff“ einen kurzen prägnanten Text ein, welcher in der Betreffzeile der Mail erscheint.

  5. Schreiben Sie unter „Body“ den Inhalt Ihrer Benachrichtigung. Durch das Aufrufen des „Minimal Template“, fügen Sie dem Body Ihrer Mail eine Tabelle mit den zur Verfügung stehenden Variablen und deren Werten an. Weiterhin können Sie auch die Platzhalter unter „Body Variablen“ aus dem Feld rechts neben „Betreff“ und „Body“ nutzen. Integrieren Sie diese via Drag and Drop in Ihre Mail.

    Der Klick auf „Preview“ ermöglicht Ihnen eine Vorschau auf den Body zu erhalten.

  6. Klicken Sie unter „Interaktion“ auf „Interaktion hinzufügen“. Hier erstellen Sie interaktive Elemente

  7. Unter „Interactions“ können Sie interaktive Elemente hinzufügen. Klicken Sie auf „+ Add Interaction“, um eine neue Interaktion zu erstellen. Jede Interaktion ermöglicht es, auf die Benachrichtigung mit vordefinierten Aktionen zu reagieren.

  8. Das Feld „Default Action“ beinhält die Aktion, welche automatisch ausgeführt wird, wenn innerhalb der unter „Time to interact“ angegebenen Zeit (in Sekunden) keine Benutzerinteraktion erfolgt.

  9. Im Bereich Actions definieren Sie die möglichen Benutzeraktionen. Klicken Sie auf „+ Add Interaction“, um Schaltflächen hinzuzufügen, über die der Empfänger auf die Benachrichtigung reagieren kann.

    1. Label: Bezeichnung des Buttons (z. B. Bestätigen, Ablehnen).

    2. Typ: Bestimmen Sie den Typ der Schaltfläche (Primary, Primary Outlined oder Regular).

  10. Geben Sie abschließend einen oder mehrere „Benachrichtigungskanäle“ an. Fügen Sie unter „Nachrichtenempfänger“ Kontakte hinzu, welche entsprechend informiert werden sollen.

  11. Speichern Sie Ihre Konfiguration durch einen Klick auf „Übernehmen“ ab.

Flows

Die Flows-Ansicht bietet eine Übersicht aller ausgelösten Playbooks. Sie dient zur Nachverfolgung und Analyse bereits ausgeführter Automatisierungen innerhalb des Systems. Jedes Element in der Liste stellt eine einzelne Ausführung eines Playbooks dar. Zusätzlich finden Sie zu jedem Eintrag Informationen über die Dauer sowie das zugrundeliegende Playbook.

Sie gelangen über SIEM – SOAR – Flows in die Ansicht.

Detailansicht

Klicken Sie auf einen Flow, um tiefere Informationen über diesen zu erhalten. Hier sehen Sie den Ablauf des zugrundeliegenden Playbooks.

Auf der oberen rechten Seite finden Sie die durch das Playbook automatisiert ausgeführte Aktion:

Darunter können Sie in der „Zeitachse der Ereignisse“ im Detail nachvollziehen. Hier finden Sie jegliche Details über den als Startpunkt definierten Stream:

In der Detailansicht können Sie den Ablauf im Nachhinein analysieren, mögliche Fehlerquellen identifizieren oder den Status einzelner Schritte überprüfen. Dies erleichtert die Nachverfolgung komplexer Automatisierungen und unterstützt bei der Optimierung zukünftiger Playbook-Ausführungen. 

LLM Provider

Legen Sie hier ein bestehendes Large Language Model (LLM) an. Dies ermöglicht Ihnen, eigene Sprachmodelle oder externe LLM-Ressourcen in die Plattform zu integrieren und optimal zu nutzen.

Einmal angelegt, kann das LLM innerhalb verschiedener Bereiche verwendet werden, beispielsweise in Playbooks, um Texte zu analysieren, Entscheidungen zu treffen oder Inhalte automatisch zusammenzufassen.

Sie gelangen über SIEM – Security Orchestration (SOAR) – LLM Provider in die Ansicht.

Für jeden Eintrag sehen Sie, welcher Anbieter mit welchem Modell verknüpft ist und welches Nutzungslimit festgelegt wurde. In der rechten Spalte erkennen Sie außerdem, welcher Provider als Standard definiert ist.

LLM Provider hinzufügen

Klicken Sie auf „+LLM hinzufügen“, um ein neues LLM anzulegen.

  1. Name Vergeben Sie einen eindeutigen Namen, unter dem der Provider in der Übersicht angezeigt wird.

  2. Beschreibung Optional: Fügen Sie eine kurze Beschreibung hinzu, um den Zweck oder Einsatzzweck des Providers zu erläutern.

  3. Aktiviert Legen Sie fest, ob der Provider aktiv ist. Nur aktivierte Provider stehen für LLM-Abfragen zur Verfügung.

  4. Standard LLM Provider Aktivieren Sie diese Option, wenn dieser Provider automatisch als Standardmodell verwendet werden soll, sofern in Playbooks kein anderer Anbieter definiert ist.

  5. Anbieter Wählen Sie den LLM-Anbieter aus (z. B. ChatGPT, Azure OpenAI, Anthropic etc.).

  6. Modell Geben Sie das gewünschte Modell des gewählten Anbieters an (z. B. gpt-4-turbo).

  7. API-Schlüssel Tragen Sie den für den Zugriff auf das Modell benötigten API-Key ein. Dieser wird für die Authentifizierung gegenüber dem Anbieter verwendet.

  8. Parallele Prompts Definieren Sie, wie viele gleichzeitige Anfragen das System an den Provider senden darf. Dies hilft, die Performance und Ressourcennutzung zu steuern.

    Prüfen Sie vor jeder Integration die aktuellen Preisstrukturen der genutzten Modelle. Besonders umfangreiche Reasoning-Modelle können bei langen Kontexten und vielen Tokens schnell hohe Kosten verursachen. Planen und überwachen Sie Ihr Budget regelmäßig.

  9. Nutzungslimits Unter diesem Abschnitt können Sie Limits für Tokens, Anfragen oder Rechenzeit festlegen. So behalten Sie den Ressourcenverbrauch und die Kosten Ihres LLM im Griff.

    1. Klicken Sie auf „+ Add Limit“, um ein neues Nutzungslimit hinzuzufügen.

    2. Definieren Sie anschließend die folgenden Parameter:

      1. Typ Legen Sie fest, auf welchen Aspekt sich das Limit bezieht. Mögliche Optionen sind Tokens, Anfragen oder Rechenzeit.

      2. Grenzwert Geben Sie den maximal zulässigen Verbrauch an (Anzahl der Tokens).

      3. Zeithorizont Bestimmen Sie den Zeitraum, auf den sich das Limit bezieht (z. B. Days, Weeks oder Months).

      4. Intervall Legen Sie fest, in welchem zeitlichen Abstand das Limit automatisch zurückgesetzt werden soll (z. B. alle 1 Monat).

  10. In der Übersicht sehen Sie zusätzlich:

    1. Last Reset Zeitpunkt der letzten Zurücksetzung.

    2. Utilization Aktueller Verbrauch im Verhältnis zum festgelegten Limit. Nutzungslimit - Zeigt den aktuell gültigen Grenzwert und die definierte Begrenzung an.

  11. Speichern Schließen Sie die Einrichtung mit einem Klick auf „Änderungen speichern“ ab. Der neue Provider erscheint anschließend in der Übersicht aller LLM Provider.

VorherigeErweiterte EinstellungenNächsteTracer

Zuletzt aktualisiert

War das hilfreich?