Security Incident Response verstehen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Verwalten Sie mit Security Incident Response (SIR) den Lebenszyklus Ihrer Security Incidents von der ersten Analyse bis zur Eindämmung, Beseitigung und Wiederherstellung. Mit Security Incident Response können Sie sich ein umfassendes Bild von den von Ihren Analysten durchgeführten Verfahren zur Reaktion auf Incidents machen und mithilfe analysegesteuerter Dashboards und Berichte Trends und Engpässe in diesen Verfahren nachvollziehen.

    Sehen Sie sich dieses neunminütige Video an, um mehr über den SIR-Prozess zu erfahren. Erfahren Sie mehr über den Einsatz von Security Incident Response zur Verhinderung von Angriffen und das Anzeigen von Sicherheitsaktivitäten im Security Incident Response -Explorer.

    Integrierte Integrationen mit Cybersicherheitslösungen von Drittanbietern und von Partnern entwickelte Integrationen aus dem ServiceNow Store ermöglichen die Automatisierung und Orchestrierung der Sicherheit, um eine effiziente und genaue Reaktion auf Incidents zu ermöglichen.

    Um Ihre Untersuchungen zu schützen und Security Incidents privat zu halten, bietet Security Incident Response die Möglichkeit, den Zugriff auf das System auf bestimmte sicherheitsbezogene Rollen und ACLs zu beschränken. Nicht-Sicherheitsadministratoren können vom Zugriff ausgeschlossen werden, es sei denn, Sie gewähren ihnen ausdrücklich Zugriff.
    Hinweis:
    IT-Systemadministratoren [admin] können die Identität von ServiceNow-Benutzern annehmen. Wenn die Identität eines Benutzers mit einer Anwendungsadministratorrolle für Security Incident Response angenommen wird, kann ein Administrator jedoch nicht auf die von dieser Rolle gewährten Funktionen zugreifen, einschließlich Security Incidents und Profilinformationen. Der Zugriff auf Module und Anwendungen in der Navigationsleiste ist ebenfalls eingeschränkt. Außerdem kann der Administrator das Passwort von Anwendern mit der Rolle „Anwendungsadministrator“ für Security Incident Response ändern.

    Informations-Flow für Security Incident Response

    Security Incident Response verwendet den folgenden Informationsfluss, von der Integration über die Untersuchung bis hin zur Lösung und Überprüfung.

    Hinweis:
    Dies ist eine interaktive Infografik. Sie können also versuchen, auf eines der Symbole oder Schritte im Bild zu klicken, um mehr über diesen Prozess oder diese Aufgabe zu erfahren.
    Informationsfluss in Security Incident ResponseKlicken Sie auf diese Abbildung, um mehr über SIR-Integrationen zu erfahrenKlicken Sie auf diese Abbildung, um mehr über die Erstellung von Security Incidents zu erfahrenKlicken Sie auf diese Abbildung, um mehr über Threat Intelligence zu erfahrenKlicken Sie auf diese Abbildung, um mehr über den SIR-Arbeitsbereich zu erfahrenKlicken Sie auf diese Abbildung, um mehr über die Funktionen von MITRE Attack zu erfahrenKlicken Sie auf diese Abbildung, um mehr über Aktivitäten zur Überprüfung nach Incidents zu erfahren

    Discovery

    Security Incidents können auf folgende Weise protokolliert oder erstellt werden.
    • Über das Formular „Security Incident“.
    • Aus Ereignissen, die intern erzeugt oder von externen Überwachungs- oder Schwachstellennachverfolgungssystemen über Warnungsregeln oder manuell erstellt werden
    • Aus externen Überwachungs- oder Nachverfolgungssystemen
    • Aus dem Servicekatalog

    Analyse

    Abhängig von der ausgewählten Ansicht, die Sie verwenden (Standard, Nicht-IT-Sicherheit, Sicherheits-ITIL usw.) kann das Formular „Security Incident“ eine beliebige Kombination aus Schwachstellen, Incidents, Changes, Problemen, Aufgaben für das betroffene CI und das betroffene CI anzeigen Gruppen. Das System kann Malware, Viren und andere Schwachstellenbereiche durch Querverweise auf die Datenbanken des National Institute of Standards and Technology (NIST) oder andere Erkennungssoftware von Drittparteien identifizieren. Wenn Security Incidents gelöst werden, können Sie jeden Incident verwenden, um einen Knowledge Base-Artikel zur Sicherheit zu erstellen, um später darauf zurückgreifen zu können.

    Führen Sie weitere Analysen mithilfe einer Business Service-Zuordnung durch, um andere betroffene Systeme oder Business Services zu finden, die infiziert sein können.

    Eindämmung, Beseitigung und Wiederherstellung

    Während Sie Schwachstellen überwachen und analysieren, können Sie Aufgaben erstellen und anderen Abteilungen zuweisen. Sie können eine Business Service-Zuordnung verwenden, um Aufgaben, Probleme oder Changes für alle betroffenen Systeme, Dokumente, Aktivitäten, SMS-Nachrichten, Brückenanrufe usw. zu erstellen.

    Prüfen

    Nachdem der Incident gelöst wurde, können vor dem Abschluss weitere Schritte ausgeführt werden. Sie können eine Überprüfung nach Incident durchführen. Das Erstellen von Knowledge Base-Artikeln kann bei zukünftigen ähnlichen Incidents hilfreich sein. Bedeutende Incidents erfordern möglicherweise eine Überprüfung der Lösung nach Incident. Diese Überprüfung kann verschiedene Formen annehmen. Beispiel:
    • Führen Sie eine Besprechung durch, um den Incident zu besprechen und Antworten zu sammeln.
    • Schreiben Sie eine Liste mit Fragen zur Lösungsüberprüfung, die für jede Kategorie oder Priorität des incident erstellt wurden, und verteilen Sie sie an die Teams, die an einem Incident gearbeitet haben.
    • Incident-Manager können den Bericht schreiben und selbst Informationen sammeln.
    Es kann automatisch ein Bericht zur Überprüfung der Incident-Lösung generiert werden, der Folgendes enthält:
    1. Eine Zusammenfassung dessen, was getan wurde
    2. der Zeitleiste
    3. Der Typ des aufgetretenen Security Incidents
    4. alle zugehörigen Incidents, Changes, Probleme, Aufgaben, CI-Gruppen
    5. Detailinformationen zu der Lösung
    Darüber hinaus ist ein automatisiertes Umfragensystem zur Überprüfung der Lösung von Security Incidents verfügbar. Erfasst die Namen aller Benutzer, die einem Security Incident zugewiesen sind, und sendet eine anwenderdefinierte Umfrage, um Daten zur Behandlung des Incidents zu sammeln. Diese Daten können dann in einem generierten Bericht zur Überprüfung eines Security Incidents verfügbar gemacht werden, den Sie zu einem endgültigen Entwurf bearbeiten können. Ähnliche Daten können einem Knowledge Base-Artikel hinzugefügt werden, um gelernte Lektionen und Schritte zur Lösung ähnlicher Probleme in der Zukunft zu enthalten.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Security Incident Response-Terminologie

    Die folgenden Begriffe werden in Security Incident Responseverwendet.
    Benennung Definition
    Aktiv Jeder Security Incident, der sich nicht im Status „Geschlossen“ oder „Abgebrochen“ befindet.
    Administratorsperre Die Möglichkeit, den Zugriff Security Incident Response auf Mitarbeiter mit sicherheitsbezogenen Rollen und ACLs zu beschränken.
    Eingehende Sicherheitsanforderungen Anforderungen, die für Sicherheitsanforderungen mit geringen Auswirkungen übermittelt werden, z. B. die Anforderung eines neuen elektronischen Abzeichens.
    Verwalten Sie Aktivitäten nach Incidents Eine Überprüfung der Herkunft und Behandlung eines Security Incidents. Das Endprodukt ist ein Nachfolgebericht zum Incident, in dem alle durchgeführten Aktionen und die Gründe dafür dokumentiert werden.
    Antwortaufgaben Aufgaben, die einem Security Incident zur Nachverfolgung von Aktionen als Reaktion auf die Bedrohung zugewiesen werden.
    Informationen zu Security Incident-Rechnern Rechner, die zum Aktualisieren von Datensatzwerten verwendet werden, wenn vorkonfigurierte Bedingungen erfüllt sind.
    Verzeichnisübersichten zu Security Incidents Diagrammtyp, der Security Incident-Daten hierarchisch in Form von geschachtelten Rechtecken anzeigt.
    Bedrohungssuche Eine aus dem Security Incident-Katalog übermittelte Anforderung zum Scannen von Dateien, URLs und IP-Adressen auf Malware.
    Schwachstellen-Scan Eine Anforderung, die über das Security Incident-Formular initiiert wird, um betroffene Ressourcen (Server, Computer und andere Configuration Items) auf Schwachstellen zu scannen.