Fluxo de trabalho de fechamento do incidente de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Feche o incidente de segurança atualizando o estado do incidente.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Espaços > Espaço de resposta a incidentes de segurança.
    2. Por exemplo, vá para Listas > Incidentes de segurança > Incidentes abertos.
    3. Abra um incidente que você deseja fechar.
    4. Vá para a guia Detalhes.
    5. Faça o detalhamento ativo do estado do incidente e selecione Fechar.
    6. Executar as atividades de encerramento.

      • Esta é uma etapa obrigatória para revisar qualquer tarefa antes de encerrar um incidente de segurança. Todas as tarefas de resposta devem ser revisadas pelo analista e encerradas ou canceladas antes de serem encerradas como incidente de segurança. Quando o analista clica em Revisar tarefas ativas, ele leva o usuário para a guia Tarefas de resposta. Uma mensagem de sessão é exibida avisando que você está no processo de fechar um incidente de segurança. Clique em continuar.

      • Clique em “Continuar”. A primeira etapa - revisar as tarefas ativas no encerramento do incidente de segurança - está concluída.
        Figura 1. Revisando tarefas de fechamento
        Feche a janela pop-up do incidente de segurança: revisando tarefas ativas.
      • Passe para a próxima etapa para revisar os playbooks ativos para o analista revisar, que é uma etapa opcional. Você pode clicar no link para revisar a tarefa do playbook ativa e fechá-la conforme necessário.
        Nota:
        Todos os fluxos de trabalho, atividades do playbook e fluxos ativos serão cancelados automaticamente no fechamento do incidente de segurança.
        Figura 2. Revisar tarefas do playbook
        Feche a janela pop-up do incidente de segurança: revisando playbooks ativos.
        Uso do Playbook manual de phishing para analisar um incidente de phishing relatado por um usuário.
      • Relatório de revisão pós-incidente: agora você será movido para revisar as atividades pós-incidente para prosseguir com o fechamento. Se a avaliação for opcional, pule a etapa ou, se for obrigatória, faça a avaliação e conclua-a.
        Figura 3. Revisar/fazer avaliação
        Feche a janela pop-up do incidente de segurança: faça a avaliação.
        Análise pós-incidente: avaliação do incidente.
      • Configurar/visualizar relatório: esta é novamente uma etapa opcional. Clique no link para revisar o relatório e prosseguir para a Próxima etapa.
        Análise pós-incidente: relatórios do incidente.
      • Fornecer detalhes da resolução: o analista pode marcar a caixa de seleção para criar artigos de conhecimento automaticamente.
      • Forneça o Código de fechamento, Anotações de fechamento e clique em Fechar incidente.
        Fechar a janela pop-up do incidente de segurança: fornecer o código de encerramento e as anotações de encerramento.
      Nota:
      Por qualquer chance, se o analista cancelar a caixa de diálogo Fechar o incidente de segurança, o analista poderá navegar até a guia Detalhes e mudar o estado do incidente para fechar para continuar com o fechamento.