Modelo de fluxo de trabalho de software malicioso de incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O modelo Incidente de segurança - Software malicioso - permite que você execute uma série de tarefas projetadas para lidar com software malicioso em sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida como Software mal-intencionado. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Software malicioso
    Modelo de fluxo de trabalho de software malicioso

    Procedimento

    1. Abra o incidente de segurança para este possível ataque ou crie um novo incidente de segurança.
    2. Em Categoria, selecione Atividade de código malicioso.
    3. Salve o registro.
    4. Role para baixo e abra a lista relacionada Tarefas de resposta.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado.
      Tabela 1. Tarefas de resposta no modelo de software malicioso
      Tarefa de resposta Ação Resultados
      Endpoint de verificação - Malware encontrado? Depois de executar uma verificação, determine se foi encontrado malware.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a mensagem Remover malware - Sucesso? tarefa foi executada.

      Se você selecionar Não, o fluxo será encerrado.
      Remover malware - sucesso? Determine se o malware foi removido com sucesso.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, Ocorreu uma violação maior? tarefa foi executada.

      Se você selecionar Não, a tarefa Limpar e recriar imagem será executada.
      Limpar e recriar imagem Se você não removeu com sucesso o malware encontrado, esta tarefa instrui você a executar uma limpeza e recriação de imagem nos computadores infectados com o malware. Depois que a tarefa for concluída, a tarefa Definir estado para revisão será executada.
      Houve uma violação maior? Determine se a violação causada pelo software mal-intencionado é maior do que se acredita.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, as seguintes tarefas serão executadas em paralelo:
      • Revisão jurídica
      • Revisão de RH
      • Revisão da aplicação da lei

      Se você selecionar Não, o fluxo será encerrado.
      Revisão jurídica

      Revisão de RH

      Revisão da aplicação da lei

      		 Execute as etapas necessárias para que cada um desses departamentos revise o processo que você seguiu para erradicar o software mal-intencionado. Quando as tarefas são concluídas, a tarefa Definir estado para revisão é executada.
      Definir estado como revisão Nenhuma ação necessária. O Estado do incidente de segurança é alterado automaticamente para Revisare o fluxo termina.