Fechar incidentes de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Quando um incidente de segurança faz a transição para o estado Revisão, é possível fechá-lo e inserir um código de fechamento apropriado. Os códigos de fechamento podem ser pesquisados posteriormente para facilitar a localização.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Nas versões anteriores do Security Incident Response, os usuários podiam fechar incidentes de segurança ou solicitações como spam. Na versão Istanbul, a opção de spam não está mais disponível. Incidentes ou solicitações de segurança de spam podem ser cancelados ou excluídos, conforme apropriado.

    Procedimento

    1. Se o incidente de segurança que você deseja fechar ainda não estiver aberto, navegue até Incidente de segurança > Incidentes > Mostrar todos os incidentese localize o incidente de segurança que você deseja fechar.
      Nota:
      Se houver avaliações de análise pós-incidente que não tenham sido concluídas para este incidente de segurança, o incidente de segurança não poderá ser encerrado. Retornar a Incidente de segurança > Análise pós-incidente > Todas as revisões incompletas, localize as revisões que estão incompletas e peça aos revisores para concluir as revisões ou cancelar as avaliações restantes.
    2. Clique na guia Informações de fechamento e preencha os campos, conforme apropriado.
      Tabela 1. Incidente de segurança
      Campo Descrição
      Criar artigo de conhecimento Selecione este campo para criar automaticamente um rascunho de artigo da base de conhecimento que contenha o conteúdo da revisão pós-incidente.
      Código de fechamento Selecione o código de encerramento que melhor descreve o motivo pelo qual você está encerrando este incidente de segurança.
      • Investigação concluída
      • Ameaça mitigada
      • Vulnerabilidade corrigida
      • Vulnerabilidade inválida
      • Não resolvido
      • Falso positivo
      Encerrado por Exibe o usuário que encerrou o incidente de segurança depois que o registro foi atualizado.
      Encerrado Exibe a data e a hora do fechamento depois que o registro é atualizado.
      Anotações de encerramento Insira anotações adicionais que descrevam o resultado do encerramento deste incidente de segurança.
    3. Clique em Atualizar.
    4. O usuário atribuído pode alterar manualmente o Estado para Encerrado.
      Quando um incidente primário é encerrado, todas as tarefas de resposta pertencentes ao incidente secundário são canceladas. Se não houver outros tipos de tarefas, o incidente secundário também será encerrado.