Playbooks
Configurez des processus adaptés aux sources pour distribuer des alertes, informer les administrateurs, traiter les risques ou appliquer des contrôles dans le navigateur.
Présentation
Les playbooks sont des processus configurables associés à un module de sécurité elba. Un processus commence par une détection prise en charge, applique les conditions que vous avez sélectionnées et exécute l'action affichée dans l'éditeur.
Les déclencheurs, conditions et actions disponibles dépendent du module, de la source connectée et des fonctionnalités de cette source. Fiez-vous aux options affichées dans l'éditeur de playbooks pour votre organisation.
Ouvrir Playbooks
Connectez-vous au portail d'administration UE ou au portail d'administration États-Unis, puis ouvrez Sécurité, choisissez un module et sélectionnez Playbooks.
Les playbooks sont actuellement disponibles dans :
- Data Protection
- Third-Party Apps
- Authentification
- Sécurité navigateur
Il n'existe pas de page Playbooks globale distincte. Chaque module gère ses modèles de démarrage et ses processus configurés.
Fonctionnement d'un playbook
Déclencheur
Le déclencheur identifie l'événement produit évalué par le processus. Les familles actuelles de déclencheurs comprennent :
- Un objet partagé en externe dans Data Protection
- Une application tierce, une CVE ou une fuite de données détectée dans Third-Party Apps
- Un compte utilisant une méthode d'authentification incorrecte dans Authentification
- Des résultats de navigateur pris en charge, tels que la saisie d'informations sensibles, l'envoi d'un fichier sensible, une exfiltration potentielle de données ou l'accès à une application non autorisée
La source sélectionnée peut modifier les déclencheurs disponibles.
Conditions
Les conditions limitent le processus aux résultats pertinents. Selon le déclencheur et la source, l'éditeur peut proposer des conditions fondées sur les membres, les groupes, les dates des alertes, les attributs de partage ou de contenu des données, les attributs des applications ou les détails des résultats du navigateur.
Certaines conditions sont évaluées à la création d'un résultat ; les conditions basées sur une date peuvent être évaluées ultérieurement. Un processus agit uniquement lorsque ses conditions configurées sont remplies.
Action
L'éditeur propose uniquement les actions prises en charge pour le déclencheur et la source sélectionnés. Les types d'actions actuels comprennent :
- Distribuer l'alerte à l'utilisateur pour mettre une alerte prise en charge à la disposition de l'employé concerné
- Notifier les administrateurs au moyen du canal de communication configuré pour l'organisation ou chaque utilisateur ; le processus peut cibler certains administrateurs lorsque cette option est disponible
- Traiter l'alerte pour une action sur les autorisations ou les comptes prise en charge par la source
- Bloquer l'envoi de données pour les résultats pris en charge liés à la saisie d'informations sensibles ou à l'envoi de fichiers
- Bloquer l'accès à la page pour les résultats pris en charge liés aux applications non autorisées
Certains processus de distribution d'alertes peuvent ajouter une action de traitement après un délai configurable. Vérifiez le délai exact et l'action qui modifie la source dans l'éditeur avant l'activation.
Comportement par module
Data Protection
Les playbooks Data Protection évaluent les alertes de partage externe détectées. Ils peuvent distribuer les alertes correspondantes aux employés et, pour les sources qui proposent la fonctionnalité requise, ajouter une action de traitement. Les conditions peuvent porter sur le partage, le contenu, le risque, l'ancienneté, le format, les tags, les membres, les groupes et l'état de l'alerte lorsque ces champs sont disponibles pour la source sélectionnée.
Consultez Data Protection pour en savoir plus sur l'examen des alertes et leur traitement par les employés.
Third-Party Apps
Les playbooks Third-Party Apps peuvent distribuer des alertes d'applications détectées ou informer les administrateurs des CVE et fuites de données prises en charge. Les conditions relatives aux applications, éditeurs, réputations, autorisations, conformités, hébergements, IA, membres, groupes et alertes sont disponibles uniquement lorsque le déclencheur sélectionné les prend en charge.
Consultez Third-Party Apps pour en savoir plus sur l'inventaire et le processus de traitement des alertes.
Authentification
Les playbooks d'authentification peuvent distribuer les alertes prises en charge relatives à une méthode d'authentification incorrecte. Le processus configuré et la source d'identité connectée déterminent les comptes évalués et les actions disponibles pour les employés.
Consultez Revues des identités et des accès pour découvrir les processus associés de revue des comptes.
Sécurité navigateur
Les playbooks de Sécurité navigateur utilisent les résultats transmis par une extension de navigateur inscrite et une source de navigateur connectée. Selon le déclencheur, un processus peut bloquer une action ou une page prise en charge dans le navigateur, ou informer les administrateurs. Les conditions relatives aux membres, groupes, outils d'IA et niveaux de gravité de l'exfiltration sont disponibles pour les déclencheurs de navigateur concernés.
L'extension de navigateur met en cache les processus de blocage actifs pour l'utilisateur connecté. Un processus qui vient d'être activé ou modifié peut donc prendre effet après l'actualisation de la configuration de l'extension, et non au moment exact où l'administrateur l'enregistre.
Consultez Fonctionnalités de l'extension de navigateur pour connaître les contrôles et prérequis pris en charge.
Créer ou mettre à jour un playbook
- Ouvrez l'onglet Playbooks du module concerné.
- Choisissez un modèle de démarrage ou ouvrez un processus existant.
- Sélectionnez la source connectée et vérifiez le déclencheur.
- Ajoutez uniquement les conditions nécessaires au périmètre prévu.
- Vérifiez l'action, les destinataires et tout délai affiché dans l'éditeur.
- Enregistrez le processus comme brouillon ou activez-le.
- Revenez à la liste Playbooks du module pour vérifier son statut, puis utilisez l'historique des alertes ou des actions du module lorsqu'il est disponible.
Les processus configurés peuvent être Brouillon, Actif ou En pause. Une erreur de connexion à une source apparaît également dans la liste Playbooks, car elle peut empêcher le processus d'effectuer les tâches qui dépendent de la source.
Déploiement sécurisé
- Examinez des résultats représentatifs avant de créer une automatisation.
- Commencez avec un périmètre restreint de membres, de groupes, de sources ou de risques.
- Vérifiez les destinataires des notifications et les paramètres de communication des employés.
- Testez les actions qui modifient une source ou bloquent un comportement avec un groupe contrôlé.
- Examinez l'activité du processus et les alertes concernées avant d'étendre son périmètre.
- Mettez le processus en pause si la source connectée change ou si les résultats s'écartent de la politique prévue.
La détection, l'envoi des notifications et le traitement dans la source dépendent des services connectés et de leur état actuel. En cas d'incident urgent, vérifiez le résultat dans le système source plutôt que de vous fier à un playbook comme unique moyen de réponse.
Data Protection
Identifiez les ressources partagées de manière trop permissive et les contenus sensibles, évaluez le risque d'exposition et coordonnez leur traitement avec les employés.
Revues des identités et des accès
Examinez les comptes d'applications, identifiez les accès non associés, suivez les modifications requises et conservez la preuve des décisions d'accès.