Mit Security Incident Response installierte Komponenten
Wenn Sie die Anwendung Security Incident Response herunterladen und aktivieren, werden verschiedene Arten von Komponenten installiert, einschließlich Anwenderrollen, Tabellen, Eigenschaften und geplante Aufgaben.
Hinweis:
In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.
Für diese Funktion sind Demodaten verfügbar.
Installierte Eigenschaften
Benutzer mit der Rolle „Systemadministrator“ [admin] können die Eigenschaften von anzeigen. Benutzer mit der Rolle „Sicherheitsadministrator“ [sn_si.admin] können sie ändern.
| Eigenschaft | Monatlich |
|---|---|
| Standardmäßige Startzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, formatiert als 08:00 sn_si.default.start.time |
|
| Standardmäßige Endzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, im Format 17:00 sn_si.default.end.time |
|
| Erkennbare Elemente vom Typ Ziel zusammen mit anderen erkennbaren Elementen vom Typ Kontext in die Security Incident-Anwender- und -CI-Beziehungen einschließen sn_si.link_dest_ip |
Bestimmt, ob ein erkennbares Element für einen Security Incident mit dem Kontexttyp „Ziel“ unter den Registerkarten Konfigurationselemente oder Betroffene Anwender angezeigt wird. Standardmäßig werden erkennbare Elemente mit einem Zielkontexttyp ausgeschlossen. Um die erkennbaren Elemente einzubeziehen, wählen Sie Ja. |
| Erlauben Sie Anpassungen beim Erstellen eines Problems oder einer Change-Anforderung aus einem Security Incident sn_si.popup |
Wenn ein Problem oder ein Change erstellt wird, öffnet diese Eigenschaft ein Popup-Fenster, in dem Sie die Anforderung ändern können. Wenn diese Eigenschaften auf falsefestgelegt sind, weist das Problem oder die Change-Anforderung dieselbe Priorität, Kurzbeschreibung und Beschreibung wie der Security Incident auf, ohne dass diese Felder hinzugefügt oder bearbeitet werden können.
|
| Ordnen Sie Ergebnisse der Sichtungssuche CIs in der CMDB zu. sn_si.associate_ci_with_sighting_search |
Bei Festlegung auf true enthalten die Ergebnisse der Sichtungssuche zugehörige Configuration Items, die sich in Ihrer CMDB befinden.
|
| Risikopunktzahlen im Bereich werden grün hervorgehoben und im Format 0–49 angegeben sn_si.risk.score.green |
In der Liste „Security Incidents“ werden Security Incidents mit einer Risikopunktzahl zwischen 0 und 49 mit einem grünen Punkt markiert. |
| Risikopunktzahlen im Bereich werden orange hervorgehoben und im Format 50–79 angegeben sn_si.risk.score.orange |
In der Liste der Security Incidents werden Security Incidents mit einer Risikopunktzahl zwischen 50 und 79 mit einem orangefarbenen Punkt markiert. |
| Risikopunktzahlen im Bereich werden rot hervorgehoben und im Format 80–100 angegeben sn_si.risk.score.red |
In der Liste „Security Incidents“ werden Security Incidents mit einer Risikopunktzahl zwischen 80 und 100 mit einem roten Punkt markiert. |
| Dieser Parameter aktiviert oder deaktiviert Sichtungssuchkonfigurationen, die diese Funktion implementiert haben. sn_si.enable_sighting_search |
Bei Festlegung auf „true“ können Sichtungssuchen für aktivierte Integrationen durchgeführt werden.
|
| Die Anzahl der Zeilen mit Rohdaten, die gespeichert werden, wenn eine Sichtungssuche ausgeführt wird. Bereich 0–100 sn_si.sighting_search_raw_data_rows |
Diese Eigenschaft ist standardmäßig auf 50 Zeilen Rohdaten festgelegt. Die Hälfte der Ergebniszeilen wird ab dem Beginn des Suchzeitraums und die andere Hälfte ab dem Ende des Suchzeitraums gemeldet. Wenn Sie also 50 Zeilen auswählen, stammen 25 vom Beginn des Suchzeitraums und 25 vom Ende des Suchzeitraums. |
| Incident-Status automatisch auf „Eindämmen“ erhöhen, wenn eine Antwortaufgabe auf „In Arbeit“ gesetzt wird sn_si.rollup_task_state |
Erwägen Sie bei der Verwendung von Flows oder Workflows, diese Eigenschaft auf falsezu setzen. Auf diese Weise können Sie den Incident-Status innerhalb von Flows oder Workflows steuern. Außerdem vermeiden sie potenzielle Konflikte beim Übergang von einem Incident-Status zu einem anderen.
|
| Zuweisungseigenschaften für Security Incident Response | |
| Standortgewichtung sn_si.location.gewichtung |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise der Standort für eine Aufgabe berücksichtigt wird, wird der Standortgewichtungswert zur Bewertung durch Sicherheitsanalysten hinzugefügt.
|
| Gewichtung der Kompetenzen sn_si.skills.gewichtung |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise Kompetenzen für eine Aufgabe berücksichtigt werden, wird der Gewichtungswert der Kompetenzen zur Bewertung der Sicherheitsanalysten hinzugefügt.
|
| Legen Sie die maximale Anzahl von Sicherheitsanalysten fest, die durch die automatische Zuweisung gleichzeitig verarbeitet werden sollen sn_si.max.agents.processed |
Das System hat ein absolutes Limit von 300 Sicherheitsanalysten. Wenn Sie mehr als 300 angeben, wird der Wert auf diese Ebene festgelegt. Das System kann eine Aufgabe nicht automatisch für eine Versandgruppe senden, die mehr Sicherheitsanalysten als den konfigurierten Wert enthält.
|
| Gewichtung Zeitzone sn_si.timezone.gewichtung |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise die Zeitzone des Sicherheitsanalysten für eine Aufgabe berücksichtigt wird, wird der Gewichtungswert der Zeitzone zur Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Zwischen Ende einer Aufgabe und dem Reistestart der nächsten hinzuzufügende Dauer (in Minuten). sn_si.work.sacing |
Ein Beispiel für einen gültigen Zeitwert ist 10.
|
Angegebene Journalfelder, die Code- Tags enthalten, die den Inhalt als HTML rendern.sn_si.journal_field.html_enabled |
|
| Berechnen Sie die betroffenen Services im Hintergrund. sn_si.refresh_impacted.event |
Die zugehörige Liste „Betroffene Services/CIs“ wird durch Ereignisse generiert. Wenn diese Option aktiviert ist, wird die Aktualisierung im Hintergrund ausgeführt, und dem Incident werden Sicherheits-Tags hinzugefügt. Legen Sie den Wert auf „wahr“ fest, um den Vorgang im Hintergrund auszuführen.
|
| Rufen Sie den kritischen Service aus vorab berechneten Daten ab. sn_si.critical_service.calculator.use_cache |
Ermöglicht es dem Rechner für kritische Services, vorab berechnete Daten von Configuration Items zu verwenden. Legen Sie den Wert auf „ wahr “ fest, um in vorberechneten Daten zu suchen
|
Installierte Rollen
| Rollentitel [Name] | Beschreibung | Enthält Rollen |
|---|---|---|
| Security Incident-Administrator [sn_si.admin] |
Vollständige Kontrolle über alle Security Incident Response -Daten. Verwaltet bei Bedarf auch Gebiete und Kompetenzen. Hinweis: Im Basissystem hat der Administrator auch Zugriff auf sn_si.admin. Security Incident Response kann vom Administrator eingeschränkt werden, solange mindestens einem anderen Anwender die Sicherheitsadministratorrolle zugewiesen ist. |
|
| Security Incident-Analyst [sn_si.analyst] |
Verwalten Sie Security Incidents. Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Benutzer mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Changes und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Security Incident – Standard [sn_si.basic] |
Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Benutzer mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Changes und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Chief Information Security Officer (CISO) [sn_si.cso] |
Zeigen Sie das CISO-Dashboard an, und bearbeiten Sie es. Wenn das Plugin Vulnerability Response aktiviert ist, können Benutzer mit dieser Rolle dem Dashboard außerdem Schwachstellen-Definitionen für Bedeutungsdefinitionen hinzufügen. Dasselbe können Sie auch mit dem Plugin Security Incident Response tun. |
|
| Security Incident Extern sn_si.external |
Alle Security Incidents anzeigen, die zu ihrer jeweiligen Gruppe gehören. Hinweis: Die folgenden beiden Regeln gelten im gesamten ServiceNow unabhängig vom Bereichsadministrator oder der Bereichs-App.
|
service_fulfiller |
| Benutzer für Security Incident-Integration [sn_si.integration_user] |
Externe Tools können neue Security Incident-Datensätze bereitstellen und Security Incident-Datensätze aktualisieren. | import_transformer |
| Security Incident Knowledge-Administrator [sn_si.knowledge_admin] |
Verwalten, aktualisieren und löschen Sie die Informationen in der Knowledge Base für Security Incidents. |
|
| Sicherheitsvorfallmanager [sn_si.manager] |
Gleicher Zugriff wie für Sicherheitsanalysten. |
|
| Lesen des Security Incidents [sn_si.read] |
Lesen Sie Security Incidents. |
|
| Zugriffsmanager für Sicherheitsbeschränkungen [sn_si.restriction_access_manager] | Ermöglicht Anwendern oder Gruppen, „Beschränkungen“ für Security Incidents zu erzwingen. Dies gilt nur für Feldänderungen. | N/V |
| Spezieller Zugriff auf Security Incidents sn_si.spezial_access |
Bietet Zugriff auf bestimmte Security Incidents für Benutzer außerhalb der Security Operations-Organisation. | N/V |
| Aktiver für Sicherheitssonderzugriff [sn_si.sonder_zugriff_aktivieren] | Gewährt einem Benutzer außerhalb der Security Operations-Organisation eine spezielle Zugriffsrolle für bestimmte Security Incidents. | N/V |
| Manager für spezielle Zugriffsrechte für Security Incidents [sn_si. special_access_read_manager] | Verwalten Sie die Rolle „Spezialzugriff für Security Incidents“ [sn_si.sonder_zugriff]. Verwenden Sie diese Rolle, um das Feld „Lesezugriff “ im Formular „Security Incident“ zu ändern. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si. special_access_enabler |
| Manager für Security Incident Special Access Writer [sn_si. special_access_write_manager] | Verwalten Sie die Rolle „Spezialzugriff für Security Incidents“ [sn_si.sonder_zugriff]. Verwenden Sie diese Rolle, um das Feld Privilegierter Zugriff im Formular „Security Incident“ zu ändern. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si. special_access_enabler |
Installierte geplante Aufgaben
| Regelmäßige Aufgabe | Beschreibung |
|---|---|
| Suchen Sie nach erkennbaren Elementen des Security Incidents | Sucht nach erkennbaren Elementen nach einem anwenderdefinierten Zeitplan. |
Installierte Tabellen
| Tabelle | Beschreibung |
|---|---|
| Nachrichtenfeed-Konfiguration [sn_si_feed_configuration] |
Konfigurationsdatensätze, die zum Definieren des Inhalts verwendet werden, der im Nachrichtenfeed für Security Incidents angezeigt wird. |
| Zuweisungsregel für die Überprüfung nach Incidents sn_si_vir_condition] |
Automatisiert die Auswahl von Teilnehmern einer Umfrage zur Überprüfung nach Incident, wenn ein Security Incident geschlossen wird. |
| Security Incident sn_si_incident |
Speichert einen Security Incident, die Antworten darauf, alle verknüpften Aufgaben, Changes, Probleme und Incidents im Zusammenhang mit diesem Security Incident. |
| Security Incident-Angriffsvektoren sn_si_attack_vector |
Angriffsvektoroptionen. |
| Auditprotokoll für Security Incidents sn_si_audit_log |
Speichert Audit-Protokolle zur Ergänzung von Security Incidents. |
| Security Incident-Rechner sn_si_calculator] |
Ein Rechner zum Festlegen bestimmter Felder für Security Incidents, wenn bestimmte Bedingungen erfüllt sind. |
| Security Incident-Rechnergruppe sn_si_calculator_group] |
Eine Gruppierung von Security Incident-Rechnern Die Reihenfolge der Rechnergruppe bestimmt, welche Gruppe zuerst ausgewertet wird, und in jeder Gruppe wird höchstens ein Rechner verwendet. |
| Security Incident Enrichment Firewall sn_si_enrichment_firewall |
Wird aus der Basistabelle (sn_sec_cmn_enrichment_data_base) erweitert und enthält alle für die Palo Alto Networks-Firewall spezifischen Ergänzungsdatensätze. |
| Malware-Ergebnisse für die Ergänzung von Security Incidents [sn_si_enrichment_malware] |
Wird aus der Basistabelle (sn_sec_cmn_enrichment_data_base) erweitert und enthält alle für Malware spezifischen Ergänzungsdatensätze. |
| Netzwerkstatistiken zur Ergänzung von Security Incidents sn_si_enrichment_network_statistiken |
Wird aus der Basistabelle (sn_sec_cmn_enrichment_data_base) erweitert und enthält alle für Netzwerkstatistiken spezifischen Ergänzungsdatensätze. |
| Laufende Prozesse zur Ergänzung von Security Incidents [sn_si_enrichment_running_processes] |
Wird aus der Basistabelle (sn_sec_cmn_enrichment_data_base) erweitert und enthält alle Ergänzungsdatensätze, die für laufende Prozesse spezifisch sind. |
| Laufende Services zur Ergänzung von Security Incidents sn_si_enrichment_running_service |
Wird aus der Basistabelle (sn_sec_cmn_enrichment_data_base) erweitert und enthält alle Ergänzungsdatensätze, die für laufende Services spezifisch sind. |
| E-Mail-Suche für Security Incidents [sn_si_m2m_incident_email_search] |
Ordnet E-Mail-Suchdatensätze Security Incidents zu. |
| Security Incident-Import sn_si_incident_import |
Importieren Sie die -Tabelle für Security Incidents. Wird verwendet, um Security Incidents aus externen Systemen zu erstellen. |
| Prozessdefinition für Security Incidents sn_si_process_definition |
Speichert die Konfiguration für Security Incident-Prozess-Flows. |
| Prozessdefinitionsauswahl für Security Incidents sn_si_process_definition_selector] |
Speichert die Prozessdefinition für Security Incidents, die für Security Incidents verwendet werden soll. |
| Mit Security Incident verbundener Kundenservicefall [sn_si_m2m_incident_customerservice_case] |
Ordnet Kundenservicefälle und Security Incidents zu |
| Mit Security Incident verbundene Ergänzungsdaten sn_si_m2m_incident_enrichment |
Ordnet Security Incidents und zugehörige Ergänzungsdatensätze zu. |
| Security Incident Response Aufgabe sn_si_task |
Verwaltet Teilaufgaben im Zusammenhang mit der Bearbeitung eines Security Incidents. Diese Aufgaben können Sicherheitspersonal oder Personen in anderen Abteilungen zugewiesen werden, um die abteilungsübergreifende Kommunikation und die Aufgabennachverfolgung zu verwalten. |
| Security Incident Response Aufgabenvorlage sn_si_task_template] |
Wird zum Erstellen einer Security Incident Response -Aufgabe verwendet. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um automatisch einen Satz geeigneter Teilaufgaben für einen bestimmten Typ von Security Incident zu erstellen. |
| Security Incident Runbook-Dokument [sn_si_runbook_document] |
Ordnet Bedingungen oder Filter für Security Incidents einem Wissensartikel zu. Wird verwendet, um Runbook-Verfahren für die Nachbesserung von Security Incidents anzugeben. |
| Vorlage für Security Incidents sn_si_incident_template] |
Wird zum Erstellen eines Security Incident verwendet. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um einen vordefinierten Security Incident zu erstellen. |
| Sicherheitsanfrage sn_si_request |
Eine sicherheitsbezogene Anforderung an das Sicherheitsteam. |
| Anforderung für Sicherheitsprüfung sn_si_scan_request |
Eine Anforderung für eine Bedrohungssuche. |
| Schweregradrechner sn_si_severity_calculator |
Definiert die Werte für Schweregrad, Auswirkung, Risiko und Kritikalität für einen Security Incident. |
| Von Aufgabe betroffener Anwender [sn_si_m2m_task_affected_user] |
Eine 1:n-Tabelle, die Security Incidents den betroffenen Anwendern zuordnet. |
| Vorlagen-Workflow-Aktivität – Ergebnisauswertung [sn_si_wf_activity_outcome_evaluator] |
Ordnet eine Fähigkeit einem Bewertungsskript zu. Ein neuer Subflow kann einem Vorlagen-Workflow hinzugefügt werden, um ein Antwortaufgabenergebnis festzulegen, anstatt dass ein Analyst es manuell festlegen muss. |