Referência do Assistente de configuração
O Assistente de configuração orienta você pelas etapas que você precisa executar para configurar o. Resposta a incidentes de segurança sistema de base. Esta seção fornece informações adicionais sobre as etapas complicadas para as quais você pode precisar de mais explicações.
Crie um Resposta a incidentes de segurança definição do processo
Você pode criar uma definição de processo para definir como os incidentes de segurança fazem a transição de um estado para o próximo. As definições de processo fornecem às centrais de serviços e aos usuários finais ajuda a rastrear o problema durante todo o ciclo de vida.
Antes de Iniciar
Função necessária: sn.si_admin
Procedimento
Noções básicas sobre a definição do processo de resposta a incidentes de segurança
Resposta a incidentes de segurança Definição de processo substitui fluxos de estado e fornece aos usuários finais e às centrais de serviços o status de um problema. Uma definição de processo ajuda a rastrear o problema durante seu ciclo de vida. Resposta a incidentes de segurançaÉ uma aplicação de Gestão de serviços (SM), que tem seu próprio conjunto de estados. estados inválidos são relatados como parte de Seleção de processo.
Definição do processo de resposta do incidente de segurança
| Estado | Descrição |
|---|---|
| Rascunho | O iniciador da solicitação adiciona informações sobre o incidente de segurança, mas ele ainda não está pronto para ser trabalhado. |
| Análise | O incidente foi atribuído e o problema está sendo analisado. |
| Contém | O problema foi identificado e a equipe de segurança está trabalhando para contê-lo e executar o controle de danos. Essas ações podem incluir colocar servidores off-line, desconectar equipamentos da Internet e verificar se há backups. |
| Erradicar | O problema foi contido e a equipe de segurança está tomando medidas para corrigir o problema. |
| Recuperar | O problema foi resolvido e a prontidão operacional dos sistemas afetados está sendo verificada. |
| Revisão | O incidente de segurança está concluído e todos os sistemas estão de volta à função normal, no entanto, uma revisão pós-incidente ainda é necessária. |
| Encerrado | O incidente está concluído, mas antes que um incidente de segurança possa ser encerrado, você deve preencher as informações no Informações de fechamento guia. |
Definições de processo de tarefa de Incidente de segurança
As definições de processo a seguir são usadas para tarefas de incidente de segurança.
| Estado | Descrição |
|---|---|
| Pronto | A tarefa está pronta para ser trabalhada depois que é atribuída a um agente. |
| Atribuída | A tarefa é atribuída a um agente. |
| Trabalho em andamento | O agente atribuído está trabalhando na tarefa. |
| Concluídas | A tarefa está concluída. |
| Cancelado | A tarefa foi cancelada. |
O NIST oferece suporte aos dois modelos a seguir:
- NIST Stateful
Esta definição de processo permite que os analistas se movam de um estado para outro em uma ordem sequencial sem ignorar nenhuma etapa. Por exemplo, se o analista começar com Rascunho , a ordem sequencial desta definição de processo é Rascunho > Análise > Conter > Erradicar > Recuperar . Portanto, a definição do Processo Stateful do NIST é unidirecional e permite que os analistas progridam somente para os estados futuros.
Outro exemplo: Se o analista começar com o estado Análise, a ordem sequencial desta definição de processo será Análise > Conter > Erradicar > Recuperar .
- NIST aberto
Esta definição de processo permite que os analistas se movam de um estado para outro, para frente ou para trás. Por exemplo, se o analista começar com Análise , a ordem da definição do processo pode ser Análise > Conter > Erradicar > Recuperar ou Análise > Rascunho . Portanto, a definição de processo em aberto do NIST é bidirecional e permite que os analistas se movam para os estados de avanço ou retrocesso, dependendo de seus requisitos.
Seleção do processo de resposta do incidente de segurança
Resposta a incidentes de segurança A Seleção de processos lista processos com estados inválidos para incidentes de segurança e tarefas de resposta.
Um administrador pode corrigir o incidente ou a tarefa para estados válidos manualmente ou usando um script. Uma lista relacionada vazia (sem incidentes; sem tarefas) indica que todas as tarefas ativas estão em um estado válido. os estados disponíveis variam com base no estado atual do incidente. Para obter mais informações, consulte Corrija um incidente de segurança inválido ou estado de tarefa com a definição do processo.
Selecione um Resposta a incidentes de segurança definição do processo
Você pode selecionar a definição do processo a ser usada para os estados apropriados para os incidentes de segurança e tarefas de resposta da sua empresa.
Antes de Iniciar
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
-
Clique no ícone de pesquisa para listar as definições de processo disponíveis.
Criar um personalizado Resposta a incidentes de segurança inclusão de script de definição de processo
Crie um script de Definição de processo personalizado para os estados apropriados para os incidentes de segurança e tarefas de resposta da sua empresa.
Antes de Iniciar
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
-
Preencha os campos, se for o caso.
Tabela 4. Criando definições de processo Campo Descrição Nome Nome desta inclusão de script. Nome da API Criado com base no nome da inclusão de script. Cliente chamável Disponibiliza a inclusão de script para scripts de cliente, filtros de lista e relatório, qualificadores de referência ou , se especificado , Como parte do URL. Aplicação Incidente de segurança Acessível de Escolha Somente este escopo da aplicação . Ativo Quando marcado, ele torna esta inclusão de script selecionável no Definição do processo página. Descrição Informações úteis sobre a inclusão de script. Script Define o script do lado do servidor a ser executado quando chamado de outros scripts. O script deve definir uma única classe JavaScript ou uma função global. O nome da classe ou função deve corresponder ao campo Nome.
Para obter informações sobre o conteúdo do script, consulte Inclusão de script de Definição de processo.
Inclusão de script de Definição de processo
A inclusão de script de Definição de processo fornece métodos para definir uma definição de processo.
Implemente as constantes, atributos, matrizes e chamadas de método descritas aqui para personalizar uma inclusão de script de definição de processo.
Onde usar
Use esta inclusão de script para criar uma definição de processo.
Corpo de inclusão de script
- Constantes: Definições de estado inicial
- Incidente de segurança e tarefa de resposta: Matrizes de definição do processo
- Chamadas de método: Recuperando informações
Constantes
As constantes são usadas para definir os estados iniciais de incidentes de segurança e tarefas de resposta.
INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,
Que são usados posteriormente pelos seguintes métodos:
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},O próximo conjunto de constantes define os estados para incidentes de segurança e tarefas de resposta.
Cada matriz também contém a definição de quais estados estão disponíveis quando o incidente ou a tarefa está em um estado específico.
TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
{state:10, label:"Ready", choice:[10, 16]},
{state:16, label:"Assigned", choice:[16, 18]},
{state:18, label:"Work in Progress", choice:[18, 3]},
{state:3, label:"Close Complete", choice:[]},
{state:7, label:"Cancelled", choice:[]},
],O exemplo é uma matriz de objetos. Cada objeto define um estado e possíveis estados de transição.
A ordem do objeto do estado determina a ordem desejada para o fluxo.
Quando a tarefa está no estado "Rascunho" (valor 1), os estados possíveis são: 1 (Rascunho, que não é mudança) e 10 (Pronto, a próxima etapa do processo).
Não há limite para o número de transições fora de um estado. "Encerramento concluído" e "Cancelado" são estados finais e, portanto, não têm transições de estado possíveis.
A ordem dos atributos no objeto não é importante. Se isso tornar a definição mais clara, coloque o rótulo primeiro.
Atributos
- estado: valor numérico do estado
- rótulo: texto legível associado ao estado
- opção: uma matriz de valores de estado para os quais o estado pode fazer a transição (determina o conteúdo do menu suspenso de estado)
- Obrigatório: Lista de IDs de campo que se tornam obrigatórios neste estado
- somente leitura: Lista de IDs de campo que se tornam somente leitura neste estado
- Visível: Lista de IDs de campo que se tornam visíveis neste estado
- Não obrigatório: Lista de IDs de campo que se tornam não obrigatórios neste estado
- Notvisible: Lista de IDs de campo que não estariam mais visíveis neste estado
Se atributos opcionais forem usados, é responsabilidade do autor garantir que os campos sejam tornados visíveis/invisíveis, obrigatórios/não obrigatórios, visíveis/ocultos ou somente leitura adequadamente entre os estados.
Ocultar um campo em um estado não o torna visível em outro estado posteriormente, a menos que o atributo "visível" seja usado.
Matrizes de definição de fluxo do processo
Para definir as informações exibidas no formatador de fluxo do processo (a barra na parte superior dos formulários de tarefa Incidente de segurança e Resposta), o sistema requer informações sobre o que exibir para cada estado.
TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
{label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
{label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
{label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
{label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],A matriz TASK_pf é uma coleção de rótulos, condições e descrições usadas para determinar o texto exibido na barra do formatador de processos (incluindo ordem e atividade).
No exemplo, o texto "Pronto" é o segundo item exibido. É realçado quando a tarefa atende à condição "estado: 10 EQ".
Quando o ponteiro passa o mouse sobre o texto, a descrição "Tarefa de resposta do incidente de segurança está pronta para ser atribuída" é exibida.
Os estados podem ser combinados em um único estado do formatador.
No exemplo, os estados "Encerramento concluído" e "Cancelado" aparecem como "Encerrado" na barra superior.
Chamadas de método
| Tipo de retorno | Resumo do método | Descrição |
|---|---|---|
| Cadeia de caracteres | GetInitialIncidentState: Function() | retorna o valor numérico do estado do incidente inicial |
| Cadeia de caracteres | GetInitialTaskState: Function(): | retorna o valor numérico do estado da tarefa inicial |
| Matriz de cadeia de caracteres | GetIncidentstates: Função(): | retorna a matriz do estado do incidente |
| Matriz de cadeia de caracteres | GetTaskStates: Função(): | retorna a matriz do estado da tarefa |
| Matriz de objetos | GetIncidentProcessFlows: Função(): | retorne a matriz de definição de fluxo do processo de incidente |
| Matriz de objetos | GetTaskProcessFlows: Função(): | retorne a matriz de definição de fluxo do processo de tarefa |
O próximo conjunto de métodos é chamado sempre que um incidente ou uma tarefa é atualizado e permite que ações sejam tomadas em transições de mudança específicas.
| Tipo de retorno | Resumo do método | Descrição |
|---|---|---|
| vazio | PerformIncidentStateChange: Função(atual, anterior) | Este método é usado para definir valores relacionados ao SM e garantir que um incidente saia do "Rascunho" depois que alguém for atribuído a ele. |
| vazio | PerformTaskStateChange: Função(atual, anterior) | No exemplo, este método é usado para atualizar carimbos de data/hora (na atribuição e no fechamento) e avançar a tarefa de "Pronto" para "Atribuído" depois que o campo assigned_to for preenchido. |
Corrija um incidente de segurança inválido ou estado de tarefa com a definição do processo
Um administrador pode corrigir o incidente de segurança ou a tarefa para estados válidos, manualmente ou usando um script. os estados disponíveis variam com base no estado atual do incidente.
Antes de Iniciar
Por Que e Quando Desempenhar Esta Tarefa
Para mudar estados em massa, faça o seguinte:
Procedimento
-
Duplo- clique em Estado no primeiro registro, selecione o novo Estado, e clique na marca de seleção verde (
) para concluir a mudança.
Crie um grupo de incidentes de segurança
Configure um grupo de incidentes de segurança e atribua as funções e usuários apropriados ao grupo.
Antes de Iniciar
- Se você tiver a função user_admin, poderá criar grupos de atribuição de incidentes de segurança.
- Se você tiver a função sn_si.admin, poderá criar e editar grupos de atribuição de incidentes de segurança.
Por Que e Quando Desempenhar Esta Tarefa
Criar quantos grupos forem necessários em sua organização é uma prática recomendada. Também é uma prática recomendada criar um grupo para administradores e atribuir a função de administrador somente a este grupo.
Procedimento
-
Certifique-se de selecionar incidente de segurança tipo para este grupo.
- . Tipo o campo não está visível, configure o formulário para adicioná-lo.
- Clique no ícone de cadeado ao lado de Tipo campo.
-
Clique no ícone de pesquisa de referência (
)
- PESQUISE e selecione incidente de segurança tipo.
Crie um grupo de calculadora de incidentes de segurança
Os grupos de calculadoras de incidentes de segurança são usados para agrupar calculadoras.
Antes de Iniciar
Procedimento
Crie uma calculadora de incidentes de segurança
As calculadoras de incidentes de segurança permitem calcular a gravidade de um incidente de segurança com base em fórmulas predefinidas. Você pode definir suas próprias calculadoras de incidentes de segurança, conforme necessário.
Antes de Iniciar
Procedimento
Noções básicas sobre calculadoras de incidentes de segurança
Calculadoras de incidentes de segurança são usadas para atualizar valores de registro quando as condições predefinidas são atendidas. As calculadoras são agrupadas com base nos critérios usados para determinar como os registros são atualizados.
. Resposta a incidentes de segurança o sistema de base inclui os seguintes grupos de calculadoras de incidentes de segurança e calculadoras. Em cada grupo, a primeira calculadora que corresponde às condições será executada.
| Nome do grupo da calculadora de incidentes de segurança | Calculadoras incluídas no grupo | Descrição |
|---|---|---|
| Impacto nos negócios | Agregar de calculadoras de gravidade | Esta calculadora delega à Calculadora de criticidade de segurança que determina a criticidade ponderando os valores de outros campos. |
| Gravidade | Negócios impactados | Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples. |
| Serviço crítico afetado | Esta calculadora de severidade define seus critérios de seleção usando uma condição avançada. . Se o item de configuração no incidente de segurança estiver associado a um serviço de negócios altamente crítico, o. Pontuação de risco , Impacto nos negócios e Prioridade os campos são elevados conforme definido pela calculadora. |
|
| Mudanças em serviço crítico | Esta calculadora de severidade define seus critérios de seleção usando uma condição avançada. Se o incidente de segurança atender às condições, um script será executado para definir para quais níveis os campos serão elevados. . Se o item de configuração no incidente de segurança estiver associado a um serviço de negócios mais crítico ou um pouco crítico, o. Pontuação de risco , Impacto nos negócios e Prioridade os campos são elevados conforme definido pela calculadora. |
|
| Vetores de vários ataques | Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples. Se o item de configuração no incidente de segurança estiver associado a vetores de ataque da Web, e-mail e representação, o. Pontuação de risco , Impacto nos negócios e Prioridade os campos são elevados conforme definido pela calculadora. |
|
| Definir prioridade com categoria e serviços | Esta calculadora de severidade define seus critérios de seleção usando um construtor de condições avançado. A prioridade do incidente de segurança está definida como 1 - Crítico quando as seguintes condições são atendidas:
Nota: Esta calculadora está disponível no sistema de base quando você tem o nível de preço de Operação de segurança inicial. |
|
| Definir prioridade com observáveis | Esta calculadora de severidade define seus critérios de seleção usando um construtor de condições avançado. A prioridade do incidente de segurança está definida como 1 - Crítico quando as seguintes condições são atendidas:
Nota: Esta calculadora está disponível no sistema de base quando você tem o nível de preço Advanced Security Operation e ativa o plug-in Threat Feeds. |
|
| Criticidade do usuário | Obter criticidade do usuário | Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples. Esta calculadora de gravidade faz com que a criticalidade comercial do usuário mude para 1 - Crítico . Departamento o campo foi alterado para Finanças . |
| Obter criticidade do grupo de usuários | Esta calculadora de severidade define seus critérios de seleção usando um construtor de condições avançado. Esta calculadora de gravidade fornece um exemplo de uma calculadora que é executada em dados em uma lista relacionada. |
Calculadoras de gravidade
Ao criar um incidente de segurança, o Pontuação de risco , Impacto nos negócios e Prioridade os campos contêm valores padrão. Quando você salva o incidente, uma regra de negócios valida automaticamente as informações no incidente de segurança em relação às condições definidas em cada uma das calculadoras de gravidade ativas. Eles são validados uma calculadora de segurança por vez, na ordem definida pelo Pedido em cada calculadora. Se as informações no incidente de segurança corresponderem às condições definidas em uma das calculadoras, os valores do campo Severidade serão atualizados de acordo com as regras configuradas na calculadora.
Por exemplo, suponha que você crie um incidente de segurança para um IC afetado e o IC seja altamente crítico. Quando o incidente de segurança é salvo, as informações do IC são comparadas com as condições definidas nas calculadoras de gravidade. Quando o incidente de segurança é validado em relação a. Serviço crítico afetado calculadora de gravidade, os campos de gravidade são atualizados automaticamente e uma mensagem semelhante à seguinte aparece na parte superior do incidente de segurança.
- [Vetor de ataque] [Contém] [Web]
- [Vetor de ataque] [Contém] [E-mail]
- [Unidade de negócios] [Contém] [Finanças]
Você também pode atualizar os valores de gravidade em um incidente de segurança existente a qualquer momento abrindo o registro e clicando em Calcule a gravidade link relacionado.
Calculadoras de pontuação de risco de incidente de segurança
. Defina prioridade com categoria e serviços e. Definir prioridade com observáveis calculadoras são usadas para calcular uma pontuação de risco para um incidente de segurança.
Calculadoras de criticalidade do usuário
As duas calculadoras no Criticidade do usuário grupo ( Obter criticidade do usuário e. Obter criticidade do grupo de usuários forneça exemplos de como você pode orientar a criticidade com base em critérios definidos em um registro de usuário ou com base no grupo ao qual um usuário pertence.
Eles podem ser editados conforme necessário ou novas calculadoras de criticidade do usuário podem ser criadas.
. Obter criticidade do usuário a calculadora faz com que a criticalidade comercial do usuário mude para 1 - Crítico . Departamento o campo foi alterado para Finanças .
Var CRITICAL_GROUPS: [Group1_sys_id, group2_sys_id, group3_sys_id] .Cálculos de pontuação de risco de incidente de segurança
A pontuação de risco é calculada como uma média aritmética que representa o risco com base na prioridade de um incidente de segurança, no tipo de incidente de segurança (negação de serviço, spear Phishing ou atividade de código mal-intencionado) e no número de origens que acionaram uma pontuação de reputação com falha em um indicador.
- Calcular Gravidade
- Atualizar pontuação de risco
- Atualizar pontuação de risco de SI
Por exemplo, se um incidente de segurança tiver um Impacto nos negócios definido como 2-Alto e um Prioridade definido como 3-Moderado , Os respectivos pesos na tabela Ponderações da pontuação de risco são pesquisados e calculados da seguinte forma:
Incidente de segurança nos negócios com um valor de 2 é um peso de 60.
Prioridade do incidente de segurança com um valor de 3 é um peso de 40.
(60 e 40)/2 é uma pontuação de risco de 50.
A posição do incidente de segurança na lista de incidentes de segurança é reordenada com base em sua pontuação de risco atualizada.
- Impacto nos negócios No formulário Incidente de segurança
- Prioridade No formulário Incidente de segurança
- Gravidade No formulário Incidente de segurança (oculto por padrão)
- Impacto nos negócios em Usuários afetados lista relacionada
- Impacto nos negócios em Serviços afetados lista relacionada
- Impacto nos negócios em vulnerabilidades no Itens vulneráveis lista relacionada
- Quando uma associação entre usuários afetados e um incidente de segurança é criada ou modificada
- Quando uma associação entre serviços afetados e um incidente de segurança é criada ou modificada
- Quando uma associação entre itens vulneráveis e um incidente de segurança é criada ou modificada
As anotações de trabalho também são atualizadas sempre que Atualize todas as pontuações de risco e. Limpar todas as pontuações de risco em Pesos da pontuação de risco formulário clicado.
Manter pesos de pontuação de risco
Os pesos de pontuação de risco usados para calcular pontuações de risco em incidentes de segurança podem ser removidos ou atualizados individualmente. Eles também podem ser removidos ou atualizados para todos os incidentes de segurança. A capacidade de removê-los de incidentes de segurança é útil ao alterar valores de ponderação.
Antes de Iniciar
Procedimento
Crie um Resposta a incidentes de segurança ANS
Você pode definir um Acordo de nível de serviço (ANS) para Resposta a incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
Repare ANS de incidentes de segurança
Você pode reparar registros de ANS para garantir que as informações de tempo e duração do ANS sejam precisas.
Antes de Iniciar
Procedimento
-
Clique no menu de contexto do cabeçalho do formulário e selecione Repare ANS :
Crie um runbook de resposta a incidentes de segurança
Um runbook é uma associação entre um artigo de conhecimento publicado e uma tarefa específica. Enquanto você executa a tarefa, um artigo de conhecimento no runbook é aberto automaticamente, fornecendo informações pertinentes à tarefa.
Antes de Iniciar
Função necessária: sn.si.knowledge_admin
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
Crie regras para validar ataques de phishing relatados pelo usuário
Quando seus funcionários recebem e-mails que parecem ser ataques de phishing, eles podem denunciá-los a você usando um endereço de e-mail de phishing. O e-mail suspeito é validado usando regras definidas pela sua organização.
Antes de Iniciar
- Defina um endereço de e-mail, como e phishing@service-now.com . . phishing O marcador é compatível com SMTP para habilitar a filtragem e sua instância pode receber e-mails enviados para ele.
- Defina um endereço de e-mail, como phishing@acme.com (Sua caixa de correio do Exchange), que, por sua vez, a encaminha para e phishing@service-now.com (sua caixa de correio da instância definida por meio de uma regra de encaminhamento de e-mail).
Função necessária: sn_sec_cmn.write
Por Que e Quando Desempenhar Esta Tarefa
Quando um funcionário encontra um e-mail suspeito, ele deve encaminhá-lo como um anexo para o seu endereço de e-mail de phishing. Se o e-mail anexado corresponder a uma regra que define uma ameaça, um incidente de segurança será criado.