Referência do Assistente de configuração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 30 min. de leitura

    • O Assistente de configuração orienta você pelas etapas que você precisa executar para configurar o. Resposta a incidentes de segurança sistema de base. Esta seção fornece informações adicionais sobre as etapas complicadas para as quais você pode precisar de mais explicações.

    Crie um Resposta a incidentes de segurança definição do processo

    Você pode criar uma definição de processo para definir como os incidentes de segurança fazem a transição de um estado para o próximo. As definições de processo fornecem às centrais de serviços e aos usuários finais ajuda a rastrear o problema durante todo o ciclo de vida.

    Antes de Iniciar

    Função necessária: sn.si_admin

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Administração > Definição de processo.
    2. Clique em Nova.
    3. Preencha os campos, se for o caso.
      Tabela 1. Criando definições de processo
      Campo Descrição
      Nome Nome do registro que descreve o processo codificado no arquivo de inclusão de script. O nome é exibido como uma opção no Seletor de definição de processo lista.
      Inclusão de script O nome (incluindo sn_si . prefixo) da inclusão de script que contém a definição do processo. O script deve estar no Incidente de segurança ( sn_si escopo da aplicação. Para obter mais informações, consulte Criar um personalizado Resposta a incidentes de segurança inclusão de script de definição de processo. Se este campo não contiver um nome de inclusão de script válido, a definição padrão ProcessDefinition_NIST_Stateful será usada.
      Descrição Informações úteis sobre a inclusão de script.
      Ordem Determina a posição na lista de definição de processo.
      Ativo Quando marcado, torna esta definição de processo selecionável no Seletor de definição de processo página.
    4. Clique em Enviar.

    Noções básicas sobre a definição do processo de resposta a incidentes de segurança

    Resposta a incidentes de segurança Definição de processo substitui fluxos de estado e fornece aos usuários finais e às centrais de serviços o status de um problema. Uma definição de processo ajuda a rastrear o problema durante seu ciclo de vida. Resposta a incidentes de segurançaÉ uma aplicação de Gestão de serviços (SM), que tem seu próprio conjunto de estados. estados inválidos são relatados como parte de Seleção de processo.

    Definição do processo de resposta do incidente de segurança

    A definição de processo padrão (NIST Stateful) define os seguintes estados de incidente:
    Nota:
    os estados disponíveis variam com base no estado atual do incidente.
    Tabela 2. estados de definição do processo de incidente de segurança
    Estado Descrição
    Rascunho O iniciador da solicitação adiciona informações sobre o incidente de segurança, mas ele ainda não está pronto para ser trabalhado.
    Análise O incidente foi atribuído e o problema está sendo analisado.
    Contém O problema foi identificado e a equipe de segurança está trabalhando para contê-lo e executar o controle de danos. Essas ações podem incluir colocar servidores off-line, desconectar equipamentos da Internet e verificar se há backups.
    Erradicar O problema foi contido e a equipe de segurança está tomando medidas para corrigir o problema.
    Recuperar O problema foi resolvido e a prontidão operacional dos sistemas afetados está sendo verificada.
    Revisão O incidente de segurança está concluído e todos os sistemas estão de volta à função normal, no entanto, uma revisão pós-incidente ainda é necessária.
    Encerrado O incidente está concluído, mas antes que um incidente de segurança possa ser encerrado, você deve preencher as informações no Informações de fechamento guia.

    Definições de processo de tarefa de Incidente de segurança

    As definições de processo a seguir são usadas para tarefas de incidente de segurança.

    Tabela 3. estados de definição do processo de tarefa
    Estado Descrição
    Pronto A tarefa está pronta para ser trabalhada depois que é atribuída a um agente.
    Atribuída A tarefa é atribuída a um agente.
    Trabalho em andamento O agente atribuído está trabalhando na tarefa.
    Concluídas A tarefa está concluída.
    Cancelado A tarefa foi cancelada.

    O NIST oferece suporte aos dois modelos a seguir:

    • NIST Stateful

      Esta definição de processo permite que os analistas se movam de um estado para outro em uma ordem sequencial sem ignorar nenhuma etapa. Por exemplo, se o analista começar com Rascunho , a ordem sequencial desta definição de processo é Rascunho > Análise > Conter > Erradicar > Recuperar . Portanto, a definição do Processo Stateful do NIST é unidirecional e permite que os analistas progridam somente para os estados futuros.

      Outro exemplo: Se o analista começar com o estado Análise, a ordem sequencial desta definição de processo será Análise > Conter > Erradicar > Recuperar .

    • NIST aberto

      Esta definição de processo permite que os analistas se movam de um estado para outro, para frente ou para trás. Por exemplo, se o analista começar com Análise , a ordem da definição do processo pode ser Análise > Conter > Erradicar > Recuperar ou Análise > Rascunho . Portanto, a definição de processo em aberto do NIST é bidirecional e permite que os analistas se movam para os estados de avanço ou retrocesso, dependendo de seus requisitos.

    Seleção do processo de resposta do incidente de segurança

    Resposta a incidentes de segurança A Seleção de processos lista processos com estados inválidos para incidentes de segurança e tarefas de resposta.

    Um administrador pode corrigir o incidente ou a tarefa para estados válidos manualmente ou usando um script. Uma lista relacionada vazia (sem incidentes; sem tarefas) indica que todas as tarefas ativas estão em um estado válido. os estados disponíveis variam com base no estado atual do incidente. Para obter mais informações, consulte Corrija um incidente de segurança inválido ou estado de tarefa com a definição do processo.

    Selecione um Resposta a incidentes de segurança definição do processo

    Você pode selecionar a definição do processo a ser usada para os estados apropriados para os incidentes de segurança e tarefas de resposta da sua empresa.

    Antes de Iniciar
    Função necessária: administrador e sn_si.admin
    Por Que e Quando Desempenhar Esta Tarefa
    Procedimento
    1. Navegar até Tudo > Resposta a incidentes de segurança > Administração > Seleção de processo.
    2. Clique no ícone de pesquisa para listar as definições de processo disponíveis.
      Seletor de definição de processo
    3. Selecione uma definição de processo.
    4. Clique em Atualizar.

    Criar um personalizado Resposta a incidentes de segurança inclusão de script de definição de processo

    Crie um script de Definição de processo personalizado para os estados apropriados para os incidentes de segurança e tarefas de resposta da sua empresa.

    Antes de Iniciar
    Função necessária: sn_si.admin
    Por Que e Quando Desempenhar Esta Tarefa
    O script principal sn_si.ProcessDefinition inclui definições de processo de controles. Definição do processo determina qual definição está em uso (usando Seleção de processo ). Chama o arquivo de inclusão de script apropriado para determinar os estados iniciais e as transições para incidentes de segurança e tarefas de resposta.
    Procedimento
    1. Navegar até Tudo > Definição do Sistema > Inclusões de script.
    2. Clique em Novo.
    3. Preencha os campos, se for o caso.
      Tabela 4. Criando definições de processo
      Campo Descrição
      Nome Nome desta inclusão de script.
      Nome da API Criado com base no nome da inclusão de script.
      Cliente chamável Disponibiliza a inclusão de script para scripts de cliente, filtros de lista e relatório, qualificadores de referência ou , se especificado , Como parte do URL.
      Aplicação Incidente de segurança
      Acessível de Escolha Somente este escopo da aplicação .
      Ativo Quando marcado, ele torna esta inclusão de script selecionável no Definição do processo página.
      Descrição Informações úteis sobre a inclusão de script.
      Script Define o script do lado do servidor a ser executado quando chamado de outros scripts.

      O script deve definir uma única classe JavaScript ou uma função global. O nome da classe ou função deve corresponder ao campo Nome.

      Para obter informações sobre o conteúdo do script, consulte Inclusão de script de Definição de processo.
      Formulário de inclusão de script de Definição de processo
    4. Clique em Enviar.
    Inclusão de script de Definição de processo

    A inclusão de script de Definição de processo fornece métodos para definir uma definição de processo.

    Implemente as constantes, atributos, matrizes e chamadas de método descritas aqui para personalizar uma inclusão de script de definição de processo.

    Onde usar

    Use esta inclusão de script para criar uma definição de processo.

    Corpo de inclusão de script
    O corpo de inclusão de script é composto por três seções:
    • Constantes: Definições de estado inicial
    • Incidente de segurança e tarefa de resposta: Matrizes de definição do processo
    • Chamadas de método: Recuperando informações
    Constantes

    As constantes são usadas para definir os estados iniciais de incidentes de segurança e tarefas de resposta.

    O uso de constantes é opcional, mas incentivado para legibilidade. Por exemplo:
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Que são usados posteriormente pelos seguintes métodos:

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    O próximo conjunto de constantes define os estados para incidentes de segurança e tarefas de resposta.

    Cada matriz também contém a definição de quais estados estão disponíveis quando o incidente ou a tarefa está em um estado específico.

    Por exemplo:
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    O exemplo é uma matriz de objetos. Cada objeto define um estado e possíveis estados de transição.

    A ordem do objeto do estado determina a ordem desejada para o fluxo.

    Quando a tarefa está no estado "Rascunho" (valor 1), os estados possíveis são: 1 (Rascunho, que não é mudança) e 10 (Pronto, a próxima etapa do processo).

    Não há limite para o número de transições fora de um estado. "Encerramento concluído" e "Cancelado" são estados finais e, portanto, não têm transições de estado possíveis.

    A ordem dos atributos no objeto não é importante. Se isso tornar a definição mais clara, coloque o rótulo primeiro.

    Atributos
    Os atributos obrigatórios em um objeto de definição de estado são:
    • estado: valor numérico do estado
    • rótulo: texto legível associado ao estado
    • opção: uma matriz de valores de estado para os quais o estado pode fazer a transição (determina o conteúdo do menu suspenso de estado)
    Os atributos opcionais são:
    • Obrigatório: Lista de IDs de campo que se tornam obrigatórios neste estado
    • somente leitura: Lista de IDs de campo que se tornam somente leitura neste estado
    • Visível: Lista de IDs de campo que se tornam visíveis neste estado
    • Não obrigatório: Lista de IDs de campo que se tornam não obrigatórios neste estado
    • Notvisible: Lista de IDs de campo que não estariam mais visíveis neste estado
    Nota:

    Se atributos opcionais forem usados, é responsabilidade do autor garantir que os campos sejam tornados visíveis/invisíveis, obrigatórios/não obrigatórios, visíveis/ocultos ou somente leitura adequadamente entre os estados.

    Ocultar um campo em um estado não o torna visível em outro estado posteriormente, a menos que o atributo "visível" seja usado.

    Matrizes de definição de fluxo do processo

    Para definir as informações exibidas no formatador de fluxo do processo (a barra na parte superior dos formulários de tarefa Incidente de segurança e Resposta), o sistema requer informações sobre o que exibir para cada estado.

    Por exemplo:
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    A matriz TASK_pf é uma coleção de rótulos, condições e descrições usadas para determinar o texto exibido na barra do formatador de processos (incluindo ordem e atividade).

    No exemplo, o texto "Pronto" é o segundo item exibido. É realçado quando a tarefa atende à condição "estado: 10 EQ".

    Quando o ponteiro passa o mouse sobre o texto, a descrição "Tarefa de resposta do incidente de segurança está pronta para ser atribuída" é exibida.

    Nota:

    Os estados podem ser combinados em um único estado do formatador.

    No exemplo, os estados "Encerramento concluído" e "Cancelado" aparecem como "Encerrado" na barra superior.

    Chamadas de método
    Os seguintes métodos devem estar presentes na inclusão de script, pois são usados por sn_si.ProcessDefinition:
    Tipo de retorno Resumo do método Descrição
    Cadeia de caracteres GetInitialIncidentState: Function() retorna o valor numérico do estado do incidente inicial
    Cadeia de caracteres GetInitialTaskState: Function(): retorna o valor numérico do estado da tarefa inicial
    Matriz de cadeia de caracteres GetIncidentstates: Função(): retorna a matriz do estado do incidente
    Matriz de cadeia de caracteres GetTaskStates: Função(): retorna a matriz do estado da tarefa
    Matriz de objetos GetIncidentProcessFlows: Função(): retorne a matriz de definição de fluxo do processo de incidente
    Matriz de objetos GetTaskProcessFlows: Função(): retorne a matriz de definição de fluxo do processo de tarefa

    O próximo conjunto de métodos é chamado sempre que um incidente ou uma tarefa é atualizado e permite que ações sejam tomadas em transições de mudança específicas.

    Tipo de retorno Resumo do método Descrição
    vazio PerformIncidentStateChange: Função(atual, anterior) Este método é usado para definir valores relacionados ao SM e garantir que um incidente saia do "Rascunho" depois que alguém for atribuído a ele.
    vazio PerformTaskStateChange: Função(atual, anterior) No exemplo, este método é usado para atualizar carimbos de data/hora (na atribuição e no fechamento) e avançar a tarefa de "Pronto" para "Atribuído" depois que o campo assigned_to for preenchido.
    As mesmas ações executadas por esses dois métodos podem ser realizadas usando uma regra de negócio. Ao defini-las na inclusão de script, a alternância de definições de processo é mais fácil.

    Corrija um incidente de segurança inválido ou estado de tarefa com a definição do processo

    Um administrador pode corrigir o incidente de segurança ou a tarefa para estados válidos, manualmente ou usando um script. os estados disponíveis variam com base no estado atual do incidente.

    Antes de Iniciar
    Função necessária: administrador
    Por Que e Quando Desempenhar Esta Tarefa
    Depois de alternar as definições de processo, a nova definição pode não oferecer suporte a alguns dos estados antigos. Para corrigir o incidente órfão ou os estados da tarefa, você pode mude a definição do processo , edite sua inclusão de script ou abra manualmente cada incidente ou tarefa para atualizar o estado. Atualizar o estado (que pode ser feito em massa) é a solução mais fácil.

    Para mudar estados em massa, faça o seguinte:

    Procedimento
    1. Navegar até Tudo > Seleção de processo.
    2. Realce Estado campo para os incidentes ou tarefas que você deseja mudar.
    3. Duplo- clique em Estado no primeiro registro, selecione o novo Estado, e clique na marca de seleção verde ( Marca de seleção verde) para concluir a mudança.
      Exemplo de definição corrigida
    4. Clique em Atualizar.

    Crie um grupo de incidentes de segurança

    Configure um grupo de incidentes de segurança e atribua as funções e usuários apropriados ao grupo.

    Antes de Iniciar

    Funções necessárias:
    • Se você tiver a função user_admin, poderá criar grupos de atribuição de incidentes de segurança.
    • Se você tiver a função sn_si.admin, poderá criar e editar grupos de atribuição de incidentes de segurança.

    Por Que e Quando Desempenhar Esta Tarefa

    Os usuários em um grupo herdam as funções do grupo, portanto, você não precisa atribuir funções a cada usuário separadamente.

    Criar quantos grupos forem necessários em sua organização é uma prática recomendada. Também é uma prática recomendada criar um grupo para administradores e atribuir a função de administrador somente a este grupo.

    Procedimento

    1. Navegar até Tudo > Administração de Usuários > Grupos ou Incidente de segurança > Configuração > Grupos.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Nota:

      Para obter mais informações, consulte Crie um grupo de usuários .

    4. Certifique-se de selecionar incidente de segurança tipo para este grupo.
      1. . Tipo o campo não está visível, configure o formulário para adicioná-lo.
      2. Clique no ícone de cadeado ao lado de Tipo campo.
      3. Clique no ícone de pesquisa de referência ( ícone de pesquisa)
      4. PESQUISE e selecione incidente de segurança tipo.
    5. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
    6. Em Funções lista relacionada, adicione as funções que cada membro deste grupo recebe.
      Por exemplo, se você estiver criando um grupo para Resposta a incidentes de segurança membros da equipe, adicione sn_si.analyst. Se você estiver criando um grupo para Resposta a incidentes de segurança administradores, adicione sn_si.admin.
    7. Em Membros do grupo lista relacionada, adicione usuários a este grupo.
    8. Clique em Atualizar.

    Crie um grupo de calculadora de incidentes de segurança

    Os grupos de calculadoras de incidentes de segurança são usados para agrupar calculadoras.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Configuração > Grupos de calculadoras de incidentes de segurança.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme o apropriado.
      Campo Descrição
      Nome O nome da calculadora de incidentes de segurança.
      Aplicação A aplicação que contém este registro.
      Ordem A ordem na qual a calculadora de incidentes de segurança é executada. Uma calculadora com uma entrada de pedido de 100 é executada antes de uma calculadora com uma entrada de pedido de 200.
      Descrição Uma descrição deste grupo de calculadoras.
      Criada por Insira o nome do usuário que criou
    4. Clique em Enviar.

    Crie uma calculadora de incidentes de segurança

    As calculadoras de incidentes de segurança permitem calcular a gravidade de um incidente de segurança com base em fórmulas predefinidas. Você pode definir suas próprias calculadoras de incidentes de segurança, conforme necessário.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Configuração > Grupos de calculadoras de incidentes de segurança.
    2. Ou clique no nome do grupo para o qual você deseja criar uma calculadora, ou você pode crie um grupo de calculadoras .
    3. Clique em Nova.
    4. Preencha os campos no formulário, conforme o apropriado.
      Campo Descrição
      Nome O nome da calculadora de incidentes de segurança.
      Grupo de Calculadoras Nome do grupo ao qual esta calculadora pertence.
      Nota:
      Criar ou alterar o grupo de calculadora se torna disponível depois que você insere um Nome e. Tabela .
      Tabela

      Selecione a tabela a ser usada para esta calculadora.

      Ao adicionar calculadoras a tabelas diferentes de Vulnerabilidade [sn_vul_vulnerability] e Item vulnerável [sn_vul_vulnerable_item], você deve adicionar regras de negócio e ações de IU a essas tabelas. Para ver exemplos:
      • Navegar até Definição do Sistema > Regras de negócioe localize Calcule a gravidade Regra de negócio na tabela Item vulnerável [sn_vul_vulnerable_item].
      • Navegar até IU do Sistema > Ações de IUe localize Calcule a gravidade Ação de IU na tabela Item vulnerável [sn_vul_vulnerable_item].

      Além disso, a função de administrador de vulnerabilidade deve receber recursos completos de leitura, gravação (ou save_as_template) em qualquer tabela usada por uma calculadora para ver corretamente os valores a serem aplicados ao modelo.
      Aplicação A aplicação com escopo à qual a calculadora pertence.
      Ordem A ordem em que a calculadora de incidentes de segurança é executada. Uma calculadora com uma entrada de pedido de 100 é executada antes de uma calculadora com uma entrada de pedido de 200.
      Ativo Ligar ou desligar a calculadora.
      Descrição Uma descrição desta calculadora.
    5. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
      . Condições e. Valores a serem aplicados as guias são exibidas.
    6. Preencha os campos em Condições , conforme apropriado.
      Campo Descrição
      Usar grupo de filtros Marque esta caixa de seleção para usar um grupo de filtros predefinido ou crie um novo grupo de filtros para definir os critérios da calculadora.
      Grupo de filtros Selecione o grupo de filtros a ser usado para definir uma calculadora.

      Este campo aparecerá somente se você selecionou Usar grupos de filtros caixa de seleção.
      Usar a condição avançada Marque esta caixa de seleção para indicar que uma condição de script é usada para determinar quando esta calculadora é aplicada. Quando você marca a caixa de seleção, um Condição avançada o campo de script é exibido.

      Se você selecionou Usar grupo de filtros caixa de seleção, este campo está oculto.

      Nota:
      Antes de definir condições avançadas e gravar scripts para determinar quando as calculadoras de incidentes de segurança são aplicadas, retorne à lista Calculadoras de incidentes de segurança. Explore os registros da calculadora enviados com o sistema de base.
      Condição Define condições básicas de filtro para determinar se a calculadora é usada.

      Se você selecionou um dos Usar grupo de filtros ou Use condições avançadas este campo está oculto.
    7. Clique em Valores a serem aplicados e preencha os campos no formulário, conforme apropriado.
      Você tem a opção de criar um script para definir os valores a serem aplicados ao cálculo ou definir um modelo com base nos campos na tabela selecionada.
      Campo Descrição
      Usar valores de script Marque esta caixa de seleção para definir valores de campo com um script.
      Valores de Script Define a quais valores os cálculos serão aplicados.

      Este campo aparecerá somente se você selecionou Use valores de script caixa de seleção.
      Modelo Clique com o botão direito no cabeçalho do formulário e selecione Salvar. Selecione os campos e valores que você deseja usar para a calculadora.
    8. Quando tiver concluído todas as entradas, clique em Enviar .

    Noções básicas sobre calculadoras de incidentes de segurança

    Calculadoras de incidentes de segurança são usadas para atualizar valores de registro quando as condições predefinidas são atendidas. As calculadoras são agrupadas com base nos critérios usados para determinar como os registros são atualizados.

    . Resposta a incidentes de segurança o sistema de base inclui os seguintes grupos de calculadoras de incidentes de segurança e calculadoras. Em cada grupo, a primeira calculadora que corresponde às condições será executada.

    Tabela 5. Calculadoras de incidentes de segurança no sistema de base
    Nome do grupo da calculadora de incidentes de segurança Calculadoras incluídas no grupo Descrição
    Impacto nos negócios Agregar de calculadoras de gravidade Esta calculadora delega à Calculadora de criticidade de segurança que determina a criticidade ponderando os valores de outros campos.
    Gravidade Negócios impactados Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples.
    Serviço crítico afetado Esta calculadora de severidade define seus critérios de seleção usando uma condição avançada.

    . Se o item de configuração no incidente de segurança estiver associado a um serviço de negócios altamente crítico, o. Pontuação de risco , Impacto nos negócios e Prioridade os campos são elevados conforme definido pela calculadora.
    Mudanças em serviço crítico Esta calculadora de severidade define seus critérios de seleção usando uma condição avançada.

    Se o incidente de segurança atender às condições, um script será executado para definir para quais níveis os campos serão elevados. . Se o item de configuração no incidente de segurança estiver associado a um serviço de negócios mais crítico ou um pouco crítico, o. Pontuação de risco , Impacto nos negócios e Prioridade os campos são elevados conforme definido pela calculadora.
    Vetores de vários ataques Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples.

    Se o item de configuração no incidente de segurança estiver associado a vetores de ataque da Web, e-mail e representação, o. Pontuação de risco , Impacto nos negócios e Prioridade os campos são elevados conforme definido pela calculadora.
    Definir prioridade com categoria e serviços Esta calculadora de severidade define seus critérios de seleção usando um construtor de condições avançado.
    A prioridade do incidente de segurança está definida como 1 - Crítico quando as seguintes condições são atendidas:
    • O incidente de segurança tem serviços afetados associados e um deles é crítico.
    • A categoria de incidente de segurança é uma das seguintes:
      • Negação de serviço
      • Spear Phishing
      • Atividade de código malicioso
    Nota:
    Esta calculadora está disponível no sistema de base quando você tem o nível de preço de Operação de segurança inicial.
    Definir prioridade com observáveis Esta calculadora de severidade define seus critérios de seleção usando um construtor de condições avançado.
    A prioridade do incidente de segurança está definida como 1 - Crítico quando as seguintes condições são atendidas:
    • O incidente de segurança tem serviços afetados associados e um deles é crítico.
    • A categoria de incidente de segurança é uma das seguintes:
      • Negação de serviço
      • Spear Phishing
      • Atividade de código malicioso
    • Um dos observáveis ou indicadores associados tem uma contagem de avistamentos que excede dois avistamentos com indicadores ativos (ou seja, os observáveis ou indicadores são confirmados como ruins de várias fontes).
    Nota:
    Esta calculadora está disponível no sistema de base quando você tem o nível de preço Advanced Security Operation e ativa o plug-in Threat Feeds.
    Criticidade do usuário Obter criticidade do usuário Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples.

    Esta calculadora de gravidade faz com que a criticalidade comercial do usuário mude para 1 - Crítico . Departamento o campo foi alterado para Finanças .
    Obter criticidade do grupo de usuários Esta calculadora de severidade define seus critérios de seleção usando um construtor de condições avançado.

    Esta calculadora de gravidade fornece um exemplo de uma calculadora que é executada em dados em uma lista relacionada.

    Calculadoras de gravidade

    Ao criar um incidente de segurança, o Pontuação de risco , Impacto nos negócios e Prioridade os campos contêm valores padrão. Quando você salva o incidente, uma regra de negócios valida automaticamente as informações no incidente de segurança em relação às condições definidas em cada uma das calculadoras de gravidade ativas. Eles são validados uma calculadora de segurança por vez, na ordem definida pelo Pedido em cada calculadora. Se as informações no incidente de segurança corresponderem às condições definidas em uma das calculadoras, os valores do campo Severidade serão atualizados de acordo com as regras configuradas na calculadora.

    Por exemplo, suponha que você crie um incidente de segurança para um IC afetado e o IC seja altamente crítico. Quando o incidente de segurança é salvo, as informações do IC são comparadas com as condições definidas nas calculadoras de gravidade. Quando o incidente de segurança é validado em relação a. Serviço crítico afetado calculadora de gravidade, os campos de gravidade são atualizados automaticamente e uma mensagem semelhante à seguinte aparece na parte superior do incidente de segurança.

    Mensagens na parte superior do incidente de segurança

    Você pode usar essas calculadoras de gravidade como estão ou editá-las para atender melhor às necessidades do seu negócio. Por exemplo, se você quiser identificar ameaças da Web e de e-mail específicas da unidade de negócios Finanças, poderá mudar as condições do Vários vetores de ataque calculadora:
    • [Vetor de ataque] [Contém] [Web]
    • [Vetor de ataque] [Contém] [E-mail]
    • [Unidade de negócios] [Contém] [Finanças]

    Você também pode atualizar os valores de gravidade em um incidente de segurança existente a qualquer momento abrindo o registro e clicando em Calcule a gravidade link relacionado.

    Calculadoras de pontuação de risco de incidente de segurança

    . Defina prioridade com categoria e serviços e. Definir prioridade com observáveis calculadoras são usadas para calcular uma pontuação de risco para um incidente de segurança.

    Calculadoras de criticalidade do usuário

    As duas calculadoras no Criticidade do usuário grupo ( Obter criticidade do usuário e. Obter criticidade do grupo de usuários forneça exemplos de como você pode orientar a criticidade com base em critérios definidos em um registro de usuário ou com base no grupo ao qual um usuário pertence.

    Eles podem ser editados conforme necessário ou novas calculadoras de criticidade do usuário podem ser criadas.

    . Obter criticidade do usuário a calculadora faz com que a criticalidade comercial do usuário mude para 1 - Crítico . Departamento o campo foi alterado para Finanças .

    . Obter criticidade do grupo de usuários a calculadora faz com que a criticalidade comercial do usuário mude para 1 - Crítico quando o usuário é adicionado ao Banco de dados grupo.
    Nota:
    Obter criticidade do grupo de usuários é um exemplo de uma calculadora executada em dados em uma lista relacionada. Se você quiser adicionar mais grupos para iniciar uma mudança de criticidade, adicione uma lista separada por vírgulas de sys_ids do grupo na primeira linha do script. Exemplo: Var CRITICAL_GROUPS: [Group1_sys_id, group2_sys_id, group3_sys_id] .

    Cálculos de pontuação de risco de incidente de segurança

    A pontuação de risco é calculada como uma média aritmética que representa o risco com base na prioridade de um incidente de segurança, no tipo de incidente de segurança (negação de serviço, spear Phishing ou atividade de código mal-intencionado) e no número de origens que acionaram uma pontuação de reputação com falha em um indicador.

    A pontuação de risco ajuda a priorizar o trabalho de incidentes de segurança para os analistas.
    Importante:
    Se você quiser usar a nova Calculadora de pontuação de risco, consulte Defina as novas regras da calculadora de pontuação de risco.
    . Defina prioridade com categoria e serviços e. Definir prioridade com observáveis calculadoras de incidentes de segurança são usados para calcular uma pontuação de risco para um incidente de segurança. Além disso, as seguintes regras de negócios acionam o cálculo automático de pontuações de risco:
    • Calcular Gravidade
    • Atualizar pontuação de risco
    • Atualizar pontuação de risco de SI
    Nota:
    A calculadora de risco disponível no sistema de base depende do nível de preço de Operações de segurança.
    Ao observar uma lista de incidentes de segurança no sistema de base, observe Pontuação de risco coluna.
    Figura 1. Incidentes de segurança
    Incidentes de segurança e pontuações de risco
    A pontuação de risco é calculada usando pesos definidos em Configuração da pontuação de risco .
    Figura 2. Configuração de pontuação de risco
    Pesos da pontuação de risco

    Por exemplo, se um incidente de segurança tiver um Impacto nos negócios definido como 2-Alto e um Prioridade definido como 3-Moderado , Os respectivos pesos na tabela Ponderações da pontuação de risco são pesquisados e calculados da seguinte forma:

    Incidente de segurança nos negócios com um valor de 2 é um peso de 60.

    Prioridade do incidente de segurança com um valor de 3 é um peso de 40.

    (60 e 40)/2 é uma pontuação de risco de 50.

    A posição do incidente de segurança na lista de incidentes de segurança é reordenada com base em sua pontuação de risco atualizada.

    Se, no exemplo acima, o Impacto nos negócios ou Prioridade do incidente de segurança são alterados, a pontuação de risco é recalculada e as mudanças são refletidas nas anotações de trabalho.
    Figura 3. Anotações de trabalho
    Anotações de trabalho após o cálculo da pontuação de risco
    As anotações de trabalho são atualizadas quando os seguintes campos são alterados (fazendo com que a pontuação de risco seja atualizada):
    • Impacto nos negócios No formulário Incidente de segurança
    • Prioridade No formulário Incidente de segurança
    • Gravidade No formulário Incidente de segurança (oculto por padrão)
    • Impacto nos negócios em Usuários afetados lista relacionada
    • Impacto nos negócios em Serviços afetados lista relacionada
    • Impacto nos negócios em vulnerabilidades no Itens vulneráveis lista relacionada
    Além disso, as anotações de trabalho são atualizadas nas seguintes situações:
    • Quando uma associação entre usuários afetados e um incidente de segurança é criada ou modificada
    • Quando uma associação entre serviços afetados e um incidente de segurança é criada ou modificada
    • Quando uma associação entre itens vulneráveis e um incidente de segurança é criada ou modificada

    As anotações de trabalho também são atualizadas sempre que Atualize todas as pontuações de risco e. Limpar todas as pontuações de risco em Pesos da pontuação de risco formulário clicado.

    Manter pesos de pontuação de risco

    Os pesos de pontuação de risco usados para calcular pontuações de risco em incidentes de segurança podem ser removidos ou atualizados individualmente. Eles também podem ser removidos ou atualizados para todos os incidentes de segurança. A capacidade de removê-los de incidentes de segurança é útil ao alterar valores de ponderação.

    Antes de Iniciar
    Função necessária: sn_sec_cmn.admin
    Nota:
    Usuários com a função sn_si.read podem exibir a configuração da pontuação de risco em Resposta a incidentes de segurança.
    Procedimento
    1. Navegar até Tudo > Incidente de segurança > Configuração > Configuração da pontuação de risco.
      Nota:
      Usuários com a função sn_si.read podem exibir a configuração da pontuação de risco navegando até Incidente de segurança > Alertas e eventos > Configuração de pontuação de risco.
    2. Para adicionar um novo peso de pontuação de risco, clique em Novo e insira informações nos campos.
      Campo Descrição
      Tipo Selecione o tipo de pontuação de risco que você está definindo.
      Valor Especifique o valor associado ao tipo selecionado. Se vários valores estiverem disponíveis para o tipo, convém definir vários registros de peso de pontuação de risco. Exemplo: Prioridade de incidente de segurança com um valor de 1, Prioridade de incidente de segurança com um valor de 2 e assim por diante.
      Peso O peso associado ao par de tipo/valor selecionado. As entradas válidas estão entre 0 e 100, sendo 0 o peso mais baixo e 100 o mais alto.
    3. Clique em Enviar.
    4. Execute qualquer uma dessas etapas, conforme necessário.
      • Para limpar um registro de peso de pontuação de risco, abra-o na lista e clique em Excluir .
      • Para limpar todos os registros de peso da pontuação de risco, clique em Limpar todas as pontuações de risco .
      • Para atualizar todos os registros de peso da pontuação de risco, clique em Atualize todas as pontuações de risco .

    Crie um Resposta a incidentes de segurança ANS

    Você pode definir um Acordo de nível de serviço (ANS) para Resposta a incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Configuração > ANS.
    2. Clique em Nova.
      Para obter descrições de campos e instruções detalhadas, consulte Create an SLA definition.

    Repare ANS de incidentes de segurança

    Você pode reparar registros de ANS para garantir que as informações de tempo e duração do ANS sejam precisas.

    Antes de Iniciar

    Função necessária: sn_si.basic

    Procedimento

    1. Se ele ainda não estiver aberto, abra o incidente de segurança para o qual você deseja reparar os SLAs.
    2. Clique no menu de contexto do cabeçalho do formulário e selecione Repare ANS :
      Repare SLAs no menu do cabeçalho do formulário
    3. Clique em OK Na caixa Confirmação de aviso.
      Para obter mais informações, consulte Repare ANS .

    Crie um runbook de resposta a incidentes de segurança

    Um runbook é uma associação entre um artigo de conhecimento publicado e uma tarefa específica. Enquanto você executa a tarefa, um artigo de conhecimento no runbook é aberto automaticamente, fornecendo informações pertinentes à tarefa.

    Antes de Iniciar

    Deve haver artigos de conhecimento existentes no Resposta a incidentes de segurança Base de conhecimento do runbook. Quando você crie um artigo de conhecimento de incidente de segurança certifique-se de selecionar Runbook de resposta do incidente de segurança em Base de conhecimento campo. Depois de publicar o artigo, você pode clicar em Criar runbook botão.

    Função necessária: sn.si.knowledge_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar runbooks durante os processos de criação de incidente de segurança ou tarefa de resposta ou associar os artigos da base de conhecimento em um runbook a tarefas no playbook.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Runbook manual > Criar novo runbook.
    2. Preencha os campos, se for o caso.
      Campo Descrição
      Artigo de conhecimento Selecione um artigo de conhecimento para incluir no runbook.
      Ativo Marque a caixa para disponibilizar o runbook no Navegador de filtros .
      Usar grupo de filtros Marque esta caixa de seleção para usar um grupo de filtros predefinido ou crie um novo grupo de filtros para definir os critérios do runbook.
      Grupo de filtros Selecione o grupo de filtros a ser usado para definir um runbook.

      Este campo aparecerá somente se Usar grupos de filtros a caixa de seleção está marcada.
      Tabela Selecione Incidente de segurança [sn_si_incident] ou Resposta a incidentes de segurança Tarefa [sn_si_task].

      Se você selecionou Usar grupo de filtros e selecionado um grupo de filtros, este campo assume como padrão a tabela associada ao grupo de filtros selecionado.
      Condição Defina as condições que conectam este runbook ao incidente ou tarefa.

      Se você selecionou Usar grupo de filtros e selecionou um grupo de filtros, o. Condição os campos não são exibidos.
    3. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
      A guia Detalhes do artigo de conhecimento e uma série de botões são exibidos.
    4. Para exibir os detalhes do runbook, clique em Detalhes da base de conhecimento guia.
    5. Para ver o artigo de conhecimento como ele apareceria para o usuário, clique em Exibir artigo .
    6. Para edite os detalhes do artigo de conhecimento clique em Editar artigo .

    Crie regras para validar ataques de phishing relatados pelo usuário

    Quando seus funcionários recebem e-mails que parecem ser ataques de phishing, eles podem denunciá-los a você usando um endereço de e-mail de phishing. O e-mail suspeito é validado usando regras definidas pela sua organização.

    Antes de Iniciar

    Antes que as regras de correspondência de e-mail possam ser usadas para identificar possíveis ataques de phishing, defina um endereço de e-mail para o qual os e-mails encaminhados de seus funcionários serão enviados para processamento. Você tem as seguintes opções para definir este endereço de e-mail (supondo que o domínio de e-mail da sua empresa seja acme.com):
    • Defina um endereço de e-mail, como e phishing@service-now.com . . phishing O marcador é compatível com SMTP para habilitar a filtragem e sua instância pode receber e-mails enviados para ele.
    • Defina um endereço de e-mail, como phishing@acme.com (Sua caixa de correio do Exchange), que, por sua vez, a encaminha para e phishing@service-now.com (sua caixa de correio da instância definida por meio de uma regra de encaminhamento de e-mail).

    Função necessária: sn_sec_cmn.write

    Por Que e Quando Desempenhar Esta Tarefa

    Quando um funcionário encontra um e-mail suspeito, ele deve encaminhá-lo como um anexo para o seu endereço de e-mail de phishing. Se o e-mail anexado corresponder a uma regra que define uma ameaça, um incidente de segurança será criado.

    Procedimento

    1. Navegar até Tudo > Operações de segurança > Processamento de E-mails > Phishing relatado pelo usuário.
    2. Clique em Nova.
    3. Preencha os campos, conforme necessário.
      Tabela 6. Formulário Regras de correspondência de e-mail
      Campo Descrição
      Nome Nome desta regra de correspondência de e-mail. Por exemplo, Usuário relatado como phishing.
      Condições Use o construtor de condições validar se um e-mail enviado para o endereço de e-mail de phishing da sua empresa é um ataque de phishing. Veja o exemplo a seguir.
    4. Clique em Enviar.

    Exemplo

    Este exemplo mostra uma regra correspondente para lidar com phishing relatado pelo usuário.
    Figura 4. Exemplo de regra de correspondência de e-mail
    Regra de correspondência de e-mail