Fluxo de trabalho de fechamento de incidente de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Feche o incidente de segurança atualizando o estado do incidente.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Espaços > Espaço de resposta a incidentes de segurança.
    2. Por exemplo, acesse Listas > Incidentes de segurança > Incidentes em aberto.
    3. Abra um incidente que você deseja fechar.
    4. Vá para Detalhes guia.
    5. Detalhar o estado do incidente e selecionar Fechar .
    6. Execute as atividades de fechamento.

      • Esta é uma etapa obrigatória para revisar qualquer tarefa antes de fechar um incidente de segurança. Todas as tarefas de resposta devem ser revisadas pelo analista e encerradas ou canceladas antes do fechamento como incidente de segurança. Quando o analista clica em Revise tarefas ativas , leva o usuário ao Tarefas de resposta guia. Uma mensagem de sessão é exibida solicitando que você está no processo de fechar um incidente de segurança. Clique em continuar .

      • Clique em “Continuar”. A primeira etapa - revisar as tarefas ativas no fechamento do incidente de segurança está concluída.
        Figura 1. Revisando tarefas de fechamento
        Feche a janela pop-up de incidente de segurança: Revisando tarefas ativas.
      • Passe para a próxima etapa para revisar os playbooks ativos para o analista revisar, que é uma etapa opcional. Você pode clicar no link para revisar a tarefa ativa do playbook e fechá-la conforme necessário.
        Nota:
        Todos os fluxos de trabalho, atividades do playbook e fluxos ativos serão cancelados automaticamente no fechamento do incidente de segurança.
        Figura 2. Revise as tarefas do playbook
        Feche a janela pop-up de incidente de segurança: Revisando playbooks ativos.
        Usando o Playbook Manual de Phishing para analisar um incidente de phishing relatado pelo usuário.
      • Relatório de revisão pós-incidente: Agora você será movido para revisar as atividades pós-incidente para prosseguir com o fechamento. Se a avaliação for opcional, ignore a etapa ou, se a avaliação for obrigatória, faça a avaliação e conclua-a.
        Figura 3. Revisar/fazer avaliação
        Feche a janela pop-up de incidente de segurança: Fazer avaliação.
        Revisão pós-incidente: Avaliação do incidente.
      • Configurar/visualizar relatório: Esta é novamente uma etapa opcional. Clique no link para revisar o relatório e prosseguir Próximo etapa.
        Revisão pós-incidente: Relatórios do incidente.
      • Fornecer detalhes da resolução: O analista pode marcar a caixa de seleção para criar artigos de conhecimento automaticamente.
      • Forneça o código de fechamento, as anotações de fechamento e clique em Fechar incidente .
        Feche a janela pop-up de incidente de segurança: Fornecendo o código de fechamento e as anotações de fechamento.
      Nota:
      Se o analista cancelar Feche o incidente de segurança , em seguida, o analista pode navegar até Detalhes e mude o estado do incidente para fechar para continuar com o fechamento.