Servidor invasor de incidente de segurança ou modelo de fluxo de trabalho de serviço

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • O Incidente de segurança - Servidor ou serviço invasor - Modelo permite que você execute uma série de tarefas projetadas para lidar com atividades de servidores ou serviços invasores que afetam sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando Categoria em um incidente de segurança está definido como Servidor ou serviço não autorizado . Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Servidor ou serviço invasor
    Servidor invasor ou modelo de fluxo de trabalho de serviço

    Procedimento

    1. Abra o incidente de segurança para este possível ataque, ou crie um novo incidente de segurança .
    2. Em Categoria , selecione Servidor invasor ou atividade de serviço .
    3. Salve o registro.
    4. Role para baixo e abra Tarefas de resposta lista relacionada.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado
      Tabela 1. Tarefas de resposta em Servidor invasor ou Modelo de serviço
      Tarefa de resposta Ação Resultados
      Servidor ou serviço não autorizado verificado? Determine se uma conexão com um servidor ou serviço não autorizado foi verificada em sua rede.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim , as duas tarefas a seguir são executadas em paralelo:
      • Identificar sistema(s) afetado(s)
      • Possível perda de dados?

      Se você selecionar Não , o fluxo termina.
      Identificar sistema(s) afetado(s) Determine os sistemas afetados pelo contato com o servidor ou serviço não autorizado. Quando esta tarefa estiver concluída, o Atualizar sistema(s) - Remover conexões não autorizadas a tarefa foi executada.
      Possível perda de dados? Determine se a conexão com o servidor ou serviço invasor causou possível perda de dados.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim . Criar possível incidente de perda de dados a tarefa foi executada.

      Se você selecionar Não . Atualizar sistema(s) - Remover conexões não autorizadas a tarefa foi executada.
      Criar possível incidente de perda de dados Execute as etapas necessárias para criar um incidente de segurança para a possível perda de dados. Quando esta tarefa estiver concluída, o Atualizar sistema(s) - Remover conexões não autorizadas a tarefa foi executada.
      Atualizar sistema(s) - Remover conexões não autorizadas Execute as etapas necessárias para remover as conexões não autorizadas. Quando esta tarefa estiver concluída, o Defina o estado a ser revisado a tarefa foi executada.
      Defina o estado a ser revisado Nenhuma ação necessária. . Estado do incidente de segurança é alterado automaticamente para Revisão e Reunião de lições aprendidas a tarefa foi executada.
      Reunião de lições aprendidas Conduza uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este incidente de serviço ou servidor invasor.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Quando esta tarefa é concluída, o fluxo termina.