Realizar uma análise pós-incidente baseada em questionário

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Você pode decidir que uma revisão pós-incidente do incidente de segurança é garantida. Uma revisão pós-incidente descreve o que aconteceu, ajuda a determinar por que o incidente ocorreu e identifica como ele pode ser evitado ou tratado no futuro.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.manager, sn_si.analyst
    Nota:
    Qualquer usuário pode participar de um questionário de análise pós-incidente, independentemente da função. As funções podem ser atribuídas a uma revisão.

    Por Que e Quando Desempenhar Esta Tarefa

    A aplicação ServiceNow Security Incident Response pode automatizar a coleta de informações de análise pós-incidente de todos os envolvidos em um incidente de segurança usando questionários. Se você decidir usar um questionário como parte de uma revisão pós-incidente, uma lista de perguntas relevantes ao incidente de segurança será enviada para a lista de participantes definida pelo usuário. Conforme cada usuário conclui o questionário, o relatório pós-incidente é gerado automaticamente. O relatório compila todas as informações relacionadas ao incidente de segurança, bem como todas as respostas à revisão pós-incidente.

    Embora uma lista inicial de perguntas seja fornecida com o sistema de base, ela é personalizável. Você pode criar categorias e adicionar novas perguntas a elas ou pode mudar perguntas individuais em categorias existentes. Você pode fazer perguntas com base em funções. Você pode definir quando determinadas perguntas são feitas. Pode haver perguntas que você faz somente para seus servidores UNIX, por exemplo, ou somente quando há atividade criminal. Você pode definir as perguntas que são feitas com base na resposta a outra pergunta ou no valor em um campo no formulário. Pode até haver perguntas que são preenchidas totalmente consultando o banco de dados.

    Depois que o incidente de segurança é resolvido e movido para o estado Revisão, as avaliações são geradas para todos os usuários atribuídos e usuários que são adicionados diretamente da lista Solicitar avaliações.

    O questionário pode ser uma ferramenta útil para coletar informações sobre o tratamento do incidente de segurança de várias fontes.

    Durante a revisão, você pode adicionar mais usuários à lista ou remover usuários existentes da lista, a menos que eles já tenham começado a preencher o questionário. Se você adicionar novos usuários à lista, eles receberão as perguntas quando o registro for salvo. O incidente de segurança não pode ser encerrado até que todos os questionários tenham sido concluídos. Conforme os questionários são preenchidos por cada usuário, o relatório pós-incidente é gerado automaticamente (e gerado novamente) e exibido na guia Análise pós-incidente.

    Para iniciar uma análise pós-incidente:

    Procedimento

    1. Crie um incidente de segurançaou abra um existente navegando até Incidente de segurança > Incidentes > Atribuído a mim (ou Atribuído à equipe ou Incidentes não atribuídos).
    2. Clique na guia Análise pós-incidente.
    3. O campo Solicitar avaliações é padronizado para o indivíduo no campo Atribuído a.
      Clique no ícone de cadeado para adicionar outros usuários à lista de revisão. Depois que o campo é desbloqueado, as opções ficam disponíveis para adicionar ou remover vários usuários, funções ou inserir endereços de e-mail do usuário.
    4. Ao concluir suas entradas, clique no ícone de cadeado para bloquear o campo.
      Nota:
      Você também pode definir condições que, quando atendidas em um incidente de segurança, podem fazer com que usuários específicos sejam adicionados automaticamente ao campo Solicitar avaliações para esse incidente de segurança. Por exemplo, quando uma categoria de incidente de segurança é alterada para Phishing, indivíduos específicos com experiência em ameaças de phishing podem ser adicionados à lista de análise pós-incidente. Para obter mais informações, consulte Criar regras de atribuição de PIR.
    5. Clique em Atualizar.
      Quando o incidente entra no estado Revisão (ou imediatamente, se já estiver no estado Revisão ), cada um dos usuários na lista de revisão recebe uma notificação por e-mailinicial. Os lembretes são enviados conforme a data de vencimento se aproxima. Quando cada usuário acessa o questionário a partir do link de e-mail ou acessando Análise pós-incidente > Minhas Revisões Pendentes, as perguntas mostradas são extraídas de todas as categorias que se encaixam neste incidente de segurança. Se novos usuários forem adicionados à lista de revisão antes do prazo, eles receberão notificações quando o incidente de segurança for salvo.

      Conforme os usuários preenchem seus questionários, o relatório pós-incidente compila os dados e exibe o relatório na guia Análise pós-incidente. Os dados do questionário são exibidos na guia Descobertas.