Modelo de fluxo de trabalho de Negação de serviço de incidente de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • O modelo Incidente de segurança - Negação de serviço - permite que você execute uma série de tarefas projetadas para lidar com ataques de negação de serviço (DOS).

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando Categoria em um incidente de segurança está definido como Negação de serviço . Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Negação de serviço (DOS)
    Negação de ServiçoTemplate

    Procedimento

    1. Abra o incidente de segurança para esta ocorrência de negação de serviço, ou crie um novo incidente de segurança .
    2. Em Categoria , selecione Negação de serviço .
    3. Salve o registro.
    4. Role para baixo e abra Tarefas de resposta lista relacionada.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo seja encerrado
      Tabela 1. Tarefas de resposta no modelo de negação de serviço
      Tarefa de resposta Ação Resultados
      Os negócios de destino são críticos? Determine se o destino desse ataque do DOS é crítico para os negócios.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim . Defina a prioridade como crítica a tarefa foi executada.

      Se você selecionar Não . Uma vulnerabilidade está sendo explorada? a tarefa foi executada.
      Defina a prioridade como crítica Nenhuma ação necessária. . Prioridade do incidente de segurança é alterado automaticamente para Crítico e Uma vulnerabilidade está sendo explorada? a tarefa foi executada.
      Uma vulnerabilidade está sendo explorada? Determine se este ataque do DOS explora uma vulnerabilidade de software.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim . Solicitação de patch de emergência a tarefa foi executada.

      Se você selecionar Não . Invasor interno? a tarefa foi executada.
      Solicitação de patch de emergência Emita uma solicitação de patch de emergência para os sistemas que estão sendo atacados.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Se você mudou o estado da tarefa para Encerrado concluído ou Cancelado , a próxima tarefa de resposta é executada.
      Invasor interno? Determine se a origem desse ataque do DOS é interna à sua organização.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim . Isolar host(s) atacante(s) a tarefa foi executada.

      Se você selecionar Não . Provedor de proteção do DOS e/ou ISP do notifique a tarefa foi executada.
      Isolar o(s) host(s) atacante(s) Execute as etapas necessárias para isolar os hosts internos responsáveis pelo ataque.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Depois de concluir esta etapa, o Validar a integridade do sistema dos sistemas atacados a tarefa foi executada.
      Provedor de proteção do DOS e/ou ISP do notifique Execute as etapas necessárias para entrar em contato com o provedor de proteção contra negação de serviço e/ou com o provedor de serviços de Internet para notificá-los sobre o ataque.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Se você mudou o estado da tarefa para Encerrado concluído ou Cancelado , a próxima tarefa de resposta é executada.
      Validar a integridade do sistema dos sistemas atacados Execute as etapas necessárias para avaliar e validar a integridade dos computadores atacados.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Se você mudou o estado da tarefa para Encerrado concluído ou Cancelado , a próxima tarefa de resposta é executada.
      Revise as proteções do DOS Conduza uma revisão das proteções e procedimentos existentes do DOS. Faça as alterações necessárias.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Se você mudou o estado da tarefa para Encerrado concluído ou Cancelado , a próxima tarefa de resposta é executada.
      Defina o estado a ser revisado Nenhuma ação necessária. . Estado do incidente de segurança é alterado automaticamente para Revisão .

      . Reunião de lições aprendidas a tarefa foi executada.
      Reunião de lições aprendidas Conduza uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este incidente de negação de serviço.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Se você mudar o estado da tarefa para Encerrado concluído ou Cancelado , o fluxo termina.