Workflow-Vorlage für böswillige Software für Security Incidents

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Mit der Vorlage „Security Incident – Schadsoftware – Vorlage“ können Sie eine Reihe von Aufgaben ausführen, die Schadsoftware in Ihrem Netzwerk behandeln.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn die Kategorie in einem Security Incident auf Böswillige Softwarefestgelegt ist. Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Schadsoftware
    Workflow-Vorlage für schädliche Software

    Prozedur

    1. Öffnen Sie den Security Incident für diesen potenziellen Angriff, oder erstellen Sie einen neuen Security Incident.
    2. Wählen Sie unter KategorieBöswilliger Code Aktivität aus.
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie die zugehörige Liste Antwortaufgaben.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Bei jeder Speicherung des Datensatzes bewirkt Ihre Antwort auf die vorherige Aufgabe entweder die Erstellung der nächsten Antwortaufgabe oder die Beendigung des Workflows.
      Tabelle : 1. Antwortaufgaben in Vorlage für schädliche Software
      Antwortaufgabe Aktion Ergebnisse
      Endpunkt scannen – Malware gefunden? Bestimmen Sie nach dem Ausführen eines Scans, ob Malware gefunden wurde.

      Wählen Sie in der Aufgabe unter ErgebnisJa oder Neinaus.

      		 Wenn Sie Jaauswählen, wird die Meldung Malware entfernen – Erfolg? Aufgabe wird ausgeführt.

      Wenn Sie Neinauswählen, wird der Flow beendet.
      Malware entfernen – Erfolg? Stellen Sie fest, ob die Malware erfolgreich entfernt wurde.

      Wählen Sie in der Aufgabe unter ErgebnisJa oder Neinaus.

      		 Wenn Sie Jaauswählen, wird im Feld Gab es einen größeren Verstoß? Aufgabe wird ausgeführt.

      Wenn Sie Neinauswählen, wird die Aufgabe Löschen und erneut erstellen ausgeführt.
      Löschen und erneut erstellen Wenn Sie die gefundene Malware nicht erfolgreich entfernt haben, werden Sie im Rahmen dieser Aufgabe aufgefordert, auf den mit der Malware infizierten Computern einen Löschvorgang und ein erneutes Image durchzuführen. Nachdem die Aufgabe abgeschlossen wurde, wird die Aufgabe „Status auf Überprüfung festlegen“ ausgeführt.
      Gab es einen größeren Verstoß? Stellen Sie fest, ob der durch die Schadsoftware verursachte Verstoß größer ist als zuerst angenommen.

      Wählen Sie in der Aufgabe unter ErgebnisJa oder Neinaus.

      		 Wenn Sie Jaauswählen, werden die folgenden Aufgaben parallel ausgeführt:
      • Rechtliche Überprüfung
      • HR-Überprüfung
      • Überprüfung der Strafverfolgung

      Wenn Sie Neinauswählen, wird der Flow beendet.
      Rechtliche Überprüfung

      HR-Überprüfung

      Überprüfung der Strafverfolgung

      		 Führen Sie für jede dieser Abteilungen die erforderlichen Schritte aus, um den Prozess zur Beseitigung der Schadsoftware zu überprüfen. Wenn die Aufgaben abgeschlossen sind, wird die Aufgabe „Status auf Überprüfung festlegen“ ausgeführt.
      Legen Sie den Status auf Überprüfung fest Keine Aktion erforderlich. Der Status des Security Incident wird automatisch in Prüfunggeändert, und der Flow wird beendet.