Workflow-Vorlage für Security Incident Rogue-Server oder -Service

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Mit der Vorlage „Security Incident – Rogue-Server oder -Service –“ können Sie eine Reihe von Aufgaben ausführen, die darauf abzielen, Aktivitäten von betrügerischen Servern oder Services zu handhaben, die sich auf Ihr Netzwerk auswirken.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn die Kategorie in einem Security Incident auf Nicht autorisierter Server oder Servicefestgelegt ist. Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Nicht autorisierter Server oder Service
    Workflow-Vorlage für nicht autorisierten Server oder Service

    Prozedur

    1. Öffnen Sie den Security Incident für diesen potenziellen Angriff, oder erstellen Sie einen neuen Security Incident.
    2. Wählen Sie unter Kategoriedie Option Nicht autorisierter Server oder Serviceaktivität aus.
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie die zugehörige Liste Antwortaufgaben.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Bei jeder Speicherung des Datensatzes bewirkt Ihre Antwort auf die vorherige Aufgabe entweder die Erstellung der nächsten Antwortaufgabe oder die Beendigung des Workflows.
      Tabelle : 1. Antwortaufgaben in Rogue-Server oder Servicevorlage
      Antwortaufgabe Aktion Ergebnisse
      Betrügerischer Server oder Service verifiziert? Ermitteln Sie, ob in Ihrem Netzwerk eine Verbindung mit einem nicht autorisierten Server oder Service verifiziert wurde.

      Wählen Sie in der Aufgabe unter ErgebnisJa oder Neinaus.

      		 Wenn Sie Jaauswählen, werden die folgenden beiden Aufgaben parallel ausgeführt:
      • Betroffene Systeme identifizieren
      • Potenzieller Datenverlust?

      Wenn Sie Neinauswählen, wird der Flow beendet.
      Betroffene Systeme identifizieren Ermitteln Sie die Systeme, die durch den Kontakt mit dem nicht autorisierten Server oder Service betroffen sind. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „System(e) aktualisieren – Nicht autorisierte Verbindungen entfernen“ ausgeführt.
      Potenzieller Datenverlust? Stellen Sie fest, ob die Verbindung mit dem nicht autorisierten Server oder Service potenziellen Datenverlust verursacht hat.

      Wählen Sie in der Aufgabe unter ErgebnisJa oder Neinaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe Incident mit potenziellem Datenverlust erstellen ausgeführt.

      Wenn Sie Neinauswählen, wird die Aufgabe System(e) aktualisieren – Nicht autorisierte Verbindungen entfernen ausgeführt.
      Erstellen Sie einen Incident mit potenziellem Datenverlust Führen Sie die erforderlichen Schritte aus, um einen Security Incident für den potenziellen Datenverlust zu erstellen. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „System(e) aktualisieren – Nicht autorisierte Verbindungen entfernen“ ausgeführt.
      Systeme aktualisieren: Nicht autorisierte Verbindungen entfernen Führen Sie die erforderlichen Schritte aus, um die nicht autorisierten Verbindungen zu entfernen. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „Status auf Überprüfung festlegen“ ausgeführt.
      Legen Sie den Status auf „Überprüfung“ fest Keine Aktion erforderlich. Der Status des Security Incident wird automatisch in Überprüfunggeändert, und die Besprechungsaufgabe „Erlernte Lektionen“ wird ausgeführt.
      Meeting mit gelernten Lektionen Führen Sie ein Meeting mit gelernten Lektionen durch, um die für diesen betrügerischen Server- oder Service-Incident durchgeführten Arbeiten zu selektieren.

      Aktualisieren Sie entsprechend das Feld Status in der Aufgabe.

      		 Wenn diese Aufgabe abgeschlossen ist, wird der Flow beendet.