Noções básicas do Resposta a incidentes de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Com Resposta a incidentes de segurança(SIR), gerencie o ciclo de vida de seus incidentes de segurança, desde a análise inicial até a contenção, erradicação e recuperação. A Resposta a incidentes de segurança permite que você obtenha uma compreensão abrangente dos procedimentos de resposta a incidentes realizados por seus analistas e entenda tendências e gargalos nesses procedimentos com painéis e relatórios orientados por análise.

    Assista a este vídeo de nove minutos para saber mais sobre o processo SIR, usando Resposta a incidentes de segurança para impedir ataques e exibir atividades de segurança no Resposta a incidentes de segurança Explorador.

    Integrações integradas com soluções de segurança cibernética de terceiros e integrações desenvolvidas por parceiros da ServiceNow Habilite a automação e a orquestração da segurança para uma resposta eficiente e precisa a incidentes.

    Para proteger suas investigações e manter os incidentes de segurança privados, Resposta a incidentes de segurança Fornece os meios para restringir o acesso ao sistema a funções e ACLs específicas relacionadas à segurança. Administradores que não sejam de segurança podem ser restritos ao acesso, a menos que você permita expressamente a entrada deles.
    Nota:
    Os administradores do sistema DE TI [admin] podem representar usuários da ServiceNow. No entanto, ao representar um usuário com uma função de administrador de aplicação para Resposta de incidente de segurança, um administrador não pode acessar recursos concedidos por essa função, incluindo incidentes de segurança e informações de perfil. O acesso a módulos e aplicações na barra de navegação também é restrito. Além disso, o administrador não pode mudar a senha de nenhum usuário com uma função de administrador da aplicação para Resposta a incidentes de segurança.

    Fluxo de informações de Resposta do incidente de segurança

    O Security Incident Response emprega o seguinte fluxo de informações, desde a integração até a investigação e, em seguida, a resolução e a revisão.

    Nota:
    Este é um infográfico interativo, portanto, você pode tentar clicar em qualquer um dos ícones ou etapas na imagem para saber mais sobre esse processo ou tarefa.
    Fluxo de informações de Resposta a incidentes de segurançaClique nesta imagem para saber mais sobre as integrações DE SIRClique nesta imagem para saber mais sobre a criação de incidentes de segurançaClique nesta imagem para saber mais sobre Inteligência contra ameaçasClique nesta imagem para saber mais sobre o Espaço SIRClique nesta imagem para saber mais sobre os recursos do ataque MITREClique nesta imagem para saber mais sobre as atividades de revisão pós-incidente

    Descoberta

    Os incidentes de segurança podem ser registrados ou criados das seguintes maneiras.
    • No formulário Incidente de segurança
    • De eventos gerados internamente ou criados por monitoramento externo ou sistemas de acompanhamento de vulnerabilidades por meio de regras de alerta ou manualmente
    • De monitoramento externo ou sistemas de rastreamento
    • Do catálogo de serviços

    Análise

    Dependendo da exibição selecionada que você está usando (Padrão, Segurança não relacionada à TI, ITIL de segurança e assim por diante), o formulário Incidente de segurança pode mostrar qualquer combinação de vulnerabilidades, incidentes, mudanças, problemas, tarefas no IC afetado e grupos de IC afetados. O sistema pode identificar malware, vírus e outras áreas de vulnerabilidade cruzando o banco de dados do National Institute of Standards and Technology (NIST) ou outro software de detecção de terceiros. Conforme os incidentes de segurança são resolvidos, você pode usar qualquer incidente para criar um artigo da base de conhecimento de segurança para referência futura.

    Execute análises adicionais usando um mapa de serviços de negócios para localizar outros sistemas afetados ou serviços de negócios que podem ser infectados.

    Contenção, Erradicação e Recuperação

    Ao monitorar e analisar vulnerabilidades, você pode criar e atribuir tarefas a outros departamentos. Você pode usar um mapa de serviço de negócios para criar tarefas, problemas ou mudanças para todos os sistemas afetados, documentos, atividades, mensagens SMS, chamadas de ponte, e assim por diante.

    Revisão

    Depois que o incidente é resolvido, outras etapas podem ocorrer antes do fechamento. Você pode executar uma revisão pós-incidente. Criar artigos da base de conhecimento pode ajudar com incidentes semelhantes futuros. Incidentes significativos podem exigir uma revisão de resolução pós-incidente. Esta revisão pode assumir várias formas. Por exemplo:
    • Conduza uma reunião para discutir o incidente e coletar respostas.
    • Escreva e distribua para as equipes que trabalharam em um incidente uma lista de perguntas de revisão de resolução projetadas para cada categoria ou prioridade de incidente.
    • Os gerentes de incidentes podem escrever o relatório e coletar informações por conta própria.
    Um relatório de revisão de resolução de incidentes pode ser gerado automaticamente, incluindo:
    1. um resumo do que foi feito
    2. a linha do tempo
    3. o tipo de incidente de segurança encontrado
    4. Todos os incidentes, mudanças, problemas, tarefas e grupos de IC relacionados
    5. os detalhes da resolução
    Um sistema automatizado de pesquisa de revisão de resolução de incidentes de segurança está disponível. Ele reúne os nomes de todos os usuários atribuídos a um incidente de segurança e envia uma pesquisa personalizada para coletar dados sobre o tratamento do incidente. Esses dados podem ser disponibilizados em um relatório de revisão de incidente de segurança gerado, que você pode editar em um rascunho final. Dados semelhantes podem ser adicionados a um artigo da base de conhecimento para conter as lições aprendidas e as etapas a serem seguidas para resolver problemas semelhantes no futuro.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Terminologia de resposta do incidente de segurança

    Os termos a seguir são usados em Resposta a incidentes de segurança.
    Termo Definição
    Ativo Qualquer incidente de segurança que não esteja no estado Encerrado ou Cancelado.
    Bloqueio do administrador A capacidade de restringir Resposta a incidentes de segurança Acesso à equipe com funções relacionadas à segurança e ACLs.
    Solicitações de segurança de entrada Solicitações enviadas para demandas de segurança de baixo impacto, como solicitar um novo crachá eletrônico.
    Gerenciar atividades pós-incidente Uma revisão das origens e manipulação de um incidente de segurança. O produto final é um relatório pós-incidente, que documenta todas as ações realizadas e os motivos para fazê-las.
    Tarefas de resposta Tarefas atribuídas a um incidente de segurança para rastrear ações em resposta à ameaça.
    Noções básicas sobre calculadoras de incidentes de segurança Calculadoras usadas para atualizar valores de registro quando as condições pré-configuradas são atendidas.
    Mapas em árvore de incidentes de segurança Tipo de gráfico que mostra hierarquicamente dados de incidentes de segurança na forma de retângulos aninhados.
    Pesquisa de ameaças Uma solicitação enviada do catálogo de incidentes de segurança para verificar arquivos, URLs e endereços IP em busca de malware.
    Verificação de vulnerabilidades Uma solicitação iniciada no formulário Incidente de segurança para verificar recursos afetados (servidores, computadores e outros itens de configuração) em busca de vulnerabilidades.