Modelo de fluxo de trabalho de negação de serviço de incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • O modelo Incidente de segurança - Negação de serviço - permite que você execute uma série de tarefas projetadas para lidar com ataques de negação de serviço (DOS).

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida como Negação de serviço. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Negação de serviço (DOS)
    Negação de serviçoTemplate

    Procedimento

    1. Abra o incidente de segurança para esta ocorrência de negação de serviço ou crie um novo incidente de segurança.
    2. Em Categoria, selecione Negação de serviço.
    3. Salve o registro.
    4. Role para baixo e abra a lista relacionada Tarefas de resposta.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo seja encerrado.
      Tabela 1. Tarefas de resposta no modelo de negação de serviço
      Tarefa de resposta Ação Resultados
      A meta é crítica para os negócios? Determine se o alvo deste ataque do DOS é crítico para os negócios.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa Definir prioridade para crítica será executada.

      Se você selecionar Não, uma vulnerabilidade está sendo explorada? tarefa foi executada.
      Definir prioridade como crítica Nenhuma ação necessária. A Prioridade do incidente de segurança é alterada automaticamente para Críticae a resposta Uma vulnerabilidade está sendo explorada? tarefa foi executada.
      Há uma vulnerabilidade sendo explorada? Determine se este ataque do DOS explora uma vulnerabilidade de software.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa de solicitação de patch emergencial será executada.

      Se você selecionar Não, o invasor interno? tarefa foi executada.
      Solicitação de patch emergencial Emita uma solicitação de patch de emergência para os sistemas que estão sendo atacados.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Invasor interno? Determine se a origem deste ataque do DOS é interna à sua organização.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa Isolar host(es) de ataque será executada.

      Se você selecionar Não, a tarefa do provedor de proteção e/ou ISP do Notify será executada.
      Isolar o(s) host(s) de ataque Execute as etapas necessárias para isolar os hosts internos responsáveis pelo ataque.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Depois de concluir esta etapa, a tarefa Validar integridade do sistema dos sistemas atacados será executada.
      Notificar o provedor de proteção do DOS e/ou ISP Execute as etapas necessárias para entrar em contato com o provedor de proteção contra negação de serviço e/ou com o provedor de serviços de internet para notificá-los sobre o ataque.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Validar a integridade do sistema dos sistemas atacados Execute as etapas necessárias para avaliar e validar a integridade dos computadores atacados.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Revisar proteções do DOS Realize uma revisão das proteções e procedimentos existentes do DOS. Faça as alterações necessárias.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Definir estado como revisão Nenhuma ação necessária. O Estado do incidente de segurança é alterado automaticamente para Revisão.

      A tarefa de reunião de Lições aprendidas é executada.
      Reunião de lições aprendidas Conduza uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este incidente de negação de serviço.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, o fluxo será encerrado.