Incidentes de segurança criados a partir de eventos e alertas

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Conforme os eventos são importados das ferramentas de monitoramento de alertas, eles são processados primeiro por Gestão de eventos e agrupados em alertas. Esses alertas podem ser usados para criar incidentes de segurança com base em regras de alerta personalizáveis ou revisados manualmente para selecionar esses alertas a serem investigados como um incidente de segurança.

    Você pode encontrar um exemplo de regra de alerta chamada Criar incidentes de segurança a partir de alertas críticos no módulo Regras de AlertaGestão de eventos da aplicação []. Esta regra de alerta cria automaticamente incidentes de segurança quando eventos críticos relacionados à segurança são recebidos de dentro de ServiceNow ou de aplicações de monitoramento de terceiros. Depois que o incidente de segurança for criado, ele será atualizado conforme novos eventos forem recebidos. Você pode modificar o modelo de tarefa na regra de alerta para alterar os valores iniciais do incidente de segurança criado por esta regra de alerta. Para lidar com cada variedade distinta de incidente de segurança que você deseja criar, você pode definir outras regras de alerta com condições diferentes.

    Como alternativa, se você for um usuário com a função de Administrador de segurança, poderá criar manualmente um incidente de segurança clicando no botão Criar incidente de segurança em qualquer alerta suspeito.

    É importante que os eventos recebidos de ferramentas externas incluam as seguintes informações:
    • O nó definido para o nome, endereço IP ou sys_id do IC que se torna o recurso afetado.
    • A classificação de eventos é definida como Segurança para diferenciá-los de outros eventos de TI.
    • A descrição do evento, que preenche a descrição do incidente de segurança.
    • As informações adicionais podem incluir qualquer informação extra que não se encaixe nos campos listados anteriormente ou em outros campos de evento, como categoria, vetores de ataque, URL de retorno ou ID de correlação. O formato é uma cadeia de caracteres que lista os nomes de campo junto com seus valores, usando o seguinte formato JSON:
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Nota:
    Para cada par de campo e valor, se o campo no incidente de segurança em que o nome da coluna corresponder ao fieldName estiver vazio, ele será definido como fieldValue. Se o campo no incidente de segurança não estiver vazio, ele não será alterado. Em qualquer um dos casos, o evento e todos os campos e valores codificados nas informações adicionais são registrados em uma entrada de anotações de trabalho que descreve o evento. Se nada mudar no incidente de segurança, uma entrada de anotação de trabalho não será criada. Todos os campos em um incidente de segurança, incluindo campos personalizados adicionados à tabela, podem ser definidos.