Playbook para Automação de incidentes de segurança secundários
Os incidentes de segurança duplicados são categorizados como incidentes de segurança secundários e são acumulados nos incidentes de segurança primários.
O playbook de Automação de incidentes de segurança secundário ajuda a reduzir o tempo necessário para investigar e fechar incidentes de segurança duplicados. Este playbook acumula automaticamente artefatos exclusivos específicos do incidente de segurança secundário (observáveis, usuários afetados, ICs) para o incidente de segurança primário.
Pré-requisitos
- sn_si.admin
- flow_designer
Spoke: Instalar o spoke de operações de segurança (sn_sec_spoke)
Capacidades-chave
O playbook de automação secundária abrange os seguintes recursos:
- Move o incidente de segurança para Análise fase.
- Elimina duplicatas e adiciona (acumula) os usuários e ICs afetados ao incidente de segurança primário.
- Adiciona observáveis do incidente secundário ao incidente de segurança primário.
- Fecha ou cancela o incidente de segurança secundário quando o incidente de segurança primário é encerrado.
Capacidades necessárias
Para obter mais informações, consulte ServiceNow Store .
Experiência do analista de segurança
Para entender como resolver ameaças de segurança passo a passo, consulte Resolva ameaças à segurança com o playbook.
Compreensão mais profunda do playbook de Automação de incidentes de segurança secundários com recursos do Flow Designer
- Faça login como um usuário com as funções sn_si.user e flow_designer.
- Navegar até E clique no playbook Login com falha.
- Faça uma cópia do playbook Automação de incidentes de segurança secundários e faça as modificações necessárias. (Esta é uma etapa opcional. Siga esta etapa somente se você planeja personalizar ou fazer mudanças específicas no fluxo).
- Faça as modificações necessárias de acordo com sua exigência. (Esta é uma etapa opcional. Siga esta etapa somente se você planeja personalizar ou fazer mudanças específicas no fluxo).
- Ative o playbook.
- Ative o fluxo principal para usar o playbook disponível com o sistema de base.
- Ative o fluxo copiado depois de fazer modificações de acordo com seus requisitos.
- O campo de incidente de segurança primário não está vazio.
- O incidente de segurança primário está no estado Rascunho, Análise, Conter ou Erradicar.
As etapas a seguir orientam você pelas ações e tarefas que estão disponíveis no playbook Automação de incidentes de segurança secundários.
- Quando o playbook começa a ser executado, na Etapa 1, se o incidente de segurança estiver no estado Rascunho, ele será atualizado e definido como o estado Análise.
- Nas etapas 2 e 3, os usuários afetados pelo incidente de segurança são recuperados e acumulados no incidente de segurança primário. Todos os usuários duplicados são eliminados.
- Nas etapas 4 e 5, os itens de configuração associados ao incidente de segurança secundário são recuperados e ICs exclusivos são acumulados para o incidente de segurança primário.
- Nas etapas 6 e 7, observáveis associados ao incidente de segurança secundário são recuperados e observáveis exclusivos são acumulados para o incidente de segurança primário.
- Nas etapas 8 e 9, anotações de trabalho automatizadas são publicadas nos incidentes de segurança primários e secundários, indicando que os usuários afetados, os itens de configuração e os observáveis foram acumulados do incidente de segurança secundário para o primário.