Outras tarefas de configuração Resposta a incidentes de segurança adicionais

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 10 min. de leitura

    • Se você for um administrador no domínio global, configure como Resposta a incidentes de segurança lida com as operações diárias.

    Antes de Iniciar

    Função necessária: sn_si.admin
    Nota:

    Essas opções são padrão para muitas aplicações de gestão de serviços e, como tal, usam a terminologia de gestão de serviços. Por exemplo, Solicitação é usada para a tarefa principal (ou seja, o incidente de segurança) e Tarefa é usada para subtarefas ou Tarefas de resposta.

    Se você for um administrador em um domínio inferior ao domínio global, poderá exibir a tela Configurações, mas não poderá modificar as configurações.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Administração > Configuração.
      As opções para configurar as aplicações são organizadas nestas guias:
      • A guia Processo de negócios contém opções para configurar o ciclo de vida da solicitação, criar catálogos e solicitações e configurar notificações.
      • A guia Atribuição contém opções para configurar a atribuição manual e automática.
      • A guia Complementos contém opções para habilitar a base de conhecimento, documentos gerenciados e atividades de tarefa.
    2. Preencha os campos na guia Processo de negócios.
      Tabela 1. Tela de configuração — Guia Processo de negócios
      Campo Descrição
      Ciclo de vida
      As Anotações de trabalho são necessárias para fechar ou cancelar uma solicitação ou tarefa Habilite esta opção para exigir que o usuário insira anotações de trabalho antes que um incidente de segurança ou tarefa de resposta possa ser encerrado ou cancelado.
      Copiar anotações de trabalho da tarefa para solicitação Habilite esta opção para sincronizar as anotações de trabalho da tarefa de resposta com as anotações de trabalho no incidente de segurança. Portanto, quando anotações de trabalho na tarefa são adicionadas, as mesmas anotações de trabalho aparecem no incidente de segurança primário.
      Criação de Solicitação e Catálogo
      Criar ou atualizar solicitações por e-mail de entrada Habilite esta opção para criar ou atualizar incidentes de segurança a partir de e-mails de entrada.
      As solicitações são criadas usando Selecione catálogo ou formulário regular para ativar o catálogo e habilitar a publicação automática de modelos de incidente de segurança no catálogo.

      Selecione o formulário regular somente para desativar o catálogo e desabilitar a publicação automática de modelos de incidente de segurança no catálogo.
      Os modelos criam um item do catálogo dedicado Habilite esta opção para ativar a publicação automática de itens do catálogo para a aplicação.
      Notificações
      Para uma solicitação ou tarefa, quando o campo selecionado mudar, envie uma notificação aos destinatários Você pode configurar notificações a serem enviadas a destinatários específicos quando os campos selecionados em incidentes de segurança e tarefas de resposta forem alterados.
      1. Em Tabela, selecione Solicitação (incidente de segurança ou Tarefa (tarefa de resposta).
      2. Em Campo, selecione o campo a ser usado para gerar notificações. Quando uma mudança é feita no campo selecionado, uma notificação é enviada aos destinatários identificados.
      3. Em Destinatários, selecione um ou mais destinatários.
      4. Se você selecionar um usuário ou grupo específico, será solicitado a selecionar um usuário ou grupo.
      5. Para definir mais notificações usando outros campos ou destinatários, repita as etapas anteriores para o próximo conjunto de configurações de notificação.
      6. Para remover uma notificação, clique no ícone do símbolo de exclusão de notificação à direita da notificação.
    3. Clique na guia Atribuição e preencha os campos.
      Tabela 2. Tela de configuração — Guia Atribuição
      Campo Descrição
      Método de atribuição para solicitações Selecione o método para atribuir incidentes de segurança:
      • usando atribuição automática: os incidentes de segurança são atribuídos automaticamente.
      • usando um fluxo de trabalho: os incidentes de segurança são atribuídos pelo fluxo de trabalho selecionado.
      • manualmente: os incidentes de segurança são atribuídos manualmente.
      Use este fluxo de trabalho para atribuir solicitações Selecione o fluxo de trabalho para expedir incidentes de segurança. Este campo aparece quando o uso de um fluxo de trabalho é selecionado na lista Método de atribuição para solicitações.
      Método de atribuição para tarefas Selecione o método para atribuir tarefas de resposta:
      • usando atribuição automática: as tarefas de resposta são atribuídas automaticamente.
      • usando um fluxo de trabalho: as tarefas de resposta são atribuídas pelo fluxo de trabalho selecionado.
      • manualmente: as tarefas de resposta são atribuídas manualmente.
      Use este fluxo de trabalho para atribuir tarefas Selecione o fluxo de trabalho para atribuir tarefas de resposta. Este campo aparece quando o uso de um fluxo de trabalho é selecionado na lista Método de atribuição para tarefas.
      Atribuir solicitações ou tarefas com base nas áreas cobertas do grupo de atribuições Habilite esta opção para limitar a atribuição de incidentes de segurança e tarefas de resposta a grupos que cobrem o local da tarefa.
      Programando
      A seleção automática de agentes considera o fuso horário para as tarefas Habilite esta opção para considerar o fuso horário do agente ao atribuir uma tarefa. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      Fatores adicionais
      A seleção automática de agentes considera a localização dos agentes Habilite esta opção para dar preferência aos agentes que estão mais próximos do local da tarefa ao atribuir tarefas. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      A seleção automática de agentes requer tarefas que eles estejam aptos a realizar Selecione o grau em que as habilidades do agente devem corresponder a uma tarefa ao determinar a atribuição automática.
      • Selecione tudo para exigir que um agente atribuído tenha todas as habilidades para executar a tarefa. Um agente que não tiver pelo menos uma habilidade será eliminado.
      • Selecione algumas se quiser agentes que tenham a maioria das habilidades necessárias para executar a tarefa.
      • Selecione nenhum se quiser atribuir agentes automaticamente sem levar em conta as habilidades. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      Tentativa de seleção automática de atribuir o mesmo agente a todas as tarefas em uma solicitação Habilite esta opção para atribuir automaticamente todas as tarefas de resposta de um incidente de segurança ao mesmo agente.
    4. Clique na guia Complementos e preencha os campos.
      Tabela 3. Tela de configuração — Guia Complementos
      Campo Descrição
      Documentação
      Habilitar uma base de conhecimento dedicada Habilite esta opção para ativar a base de conhecimento para Resposta a incidentes de segurança.
      Habilitar documentos gerenciados Habilite esta opção para adicionar uma lista relacionada a documentos gerenciados.
      Habilitar atividades da tarefa Habilite esta opção para registrar interações e comunicações de tarefas, como chamadas telefônicas e mensagens de e-mail.
    5. Clique em Salvar.

    Bloquear administração de segurança

    Para proteger as investigações e manter os incidentes de segurança privados, você pode restringir o acesso Resposta a incidentes de segurança a funções e ACLs específicas de segurança. Os administradores que não são de segurança podem ter acesso restrito, a menos que você permita expressamente a entrada.

    Antes de Iniciar

    Quando a aplicação Resposta a incidentes de segurança é ativada, o usuário Administrador do sistema recebe a função sn_si.admin por padrão. O Administrador do sistema é o único administrador que pode configurar grupos e usuários de segurança.

    Uma função de segurança é necessária para ter acesso a Resposta a incidentes de segurança recursos e registros.

    Função necessária: sn_si.admin

    Procedimento

    1. Depois que o plug-in Resposta a incidentes de segurança é ativado, um usuário com a função de administrador atribui a função de administrador com escopo (sn_si.admin) a pelo menos um usuário.
    2. O usuário com a função de administrador muda para o escopo do Incidente de segurança.
    3. Navegar até Tudo > sys_store_app.list.
    4. Digite sn_si no campo Escopo.
      Aplicações do sistema.
    5. Clique em Resposta a incidentes de segurança.
    6. Role para baixo até Links relacionados e clique em Remover da função contida por administrador.
    7. Saia e faça login novamente.
      O usuário administrador não pode acessar a aplicação Resposta a incidentes de segurança.

    Gerenciar acesso de chamador restrito

    O recurso Acesso de chamador restrito (RCA) permite que um administrador defina o acesso entre escopos a uma aplicação ou recurso de aplicação e permita ou negue solicitações de acesso. Este recurso está habilitado em Resposta a incidentes de segurança por padrão para que os analistas de segurança possam proteger informações confidenciais relacionadas à segurança.

    Um campo chamado Acesso do solicitante foi adicionado a todas as tabelas e inclusões de script em Resposta a incidentes de segurança, e o padrão do campo é Acompanhamento de chamadas. Essa configuração significa que os escopos da aplicação têm permissão para acessar Resposta a incidentes de segurança tabelas e inclusões de script. No entanto, um registro de acompanhamento é criado para cada registro e armazenado na tabela Privilégio de acesso de solicitante restrito [sys_restricted_caller_access].
    Nota:
    Tenha cuidado ao mudar os registros de Acompanhamento de chamadas para Restrito a chamadores. Registros com este status não podem ser acessados até que um administrador permita manualmente o acesso a eles. O administrador deve navegar até Aplicações do sistema > Acesso de chamador restrito a aplicação, localize a tabela ou inclusão de script para a qual o acesso foi solicitado e altere o campo Status de Solicitado para Permitido.

    Executar testes de início rápido para Resposta a incidentes de segurança

    Valide se Resposta a incidentes de segurança ainda funciona depois que você faz mudanças de configuração, como aplicar um upgrade ou desenvolver uma aplicação. Copie e personalize esses testes de início rápido para aprovar ao usar seus dados específicos da instância.

    Os testes de início rápido Resposta a incidentes de segurança exigem a ativação do plug-in Resposta a incidentes de segurança (com.snc.security_incident) e o carregamento dos dados de demonstração.

    Tabela 4. Testes Resposta a incidentes de segurança
    Teste Descrição Versão de lançamento
    SIR: criar incidente de segurança Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança. Yokohama
    SIR: criar incidente de segurança por meio do catálogo de incidentes de segurança Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança. Yokohama
    SIR: ciclo de vida do incidente de segurança Valide as tarefas de resposta do fluxo de trabalho de violação de política. Yokohama
    SIR: pesquisa de ameaças Valida a funcionalidade de pesquisa de ameaças. Yokohama
    SIR: configuração OOTB das avaliações de PIR Use este teste para validar avaliações de PIR e configurações de sistema de base. Yokohama
    SIR: configuração condicional das avaliações de PIR

    Verifique se incidentes de segurança correspondentes à regra condicional obrigatória não são encerrados sem a conclusão da avaliação pós-incidente.

    Verifique se os incidentes de segurança correspondentes à regra condicional opcional podem ser encerrados sem a conclusão da avaliação pós-incidente.

    Verifique se as avaliações não são geradas para os incidentes de segurança que não correspondem a nenhuma regra.

    		 Yokohama
    SIR: verificação do tempo de execução do PIR Verifique se os relatórios PIR estão configurados e anexados aos incidentes de segurança de acordo com o novo design. Yokohama
    SIR: verificação de configuração do tempo de design do PIR Verifique se o incidente de segurança está mapeado com o modelo de relatório baseado na configuração do administrador. Yokohama
    SIR: Vincular o incidente de segurança a um importante incidente de segurança existente Vincule um Incidente de Segurança a um Incidente de Segurança Importante existente e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante. Yokohama
    SIR: promover o incidente de segurança como um incidente de segurança importante Promova um Incidente de Segurança como um Incidente de Segurança Importante e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante. Yokohama
    SIR: propor Incidente de Segurança como Incidente de Segurança Importante Proponha um Incidente de Segurança como Incidente de Segurança Importante e valide os dados de Incidente de Segurança implementados no Incidente de Segurança Importante. Yokohama
    Verifique se somente Membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ATIVADA Verifique se somente membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ativada. Yokohama
    Verifique se somente Grupos permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ATIVADA Verifique se somente grupos permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ativada. Yokohama
    Validar acesso de leitura Valide o acesso de exibição. Yokohama
    Validar acesso de gravação Valide o acesso de edição. Yokohama
    Espaço SIR: acesso de leitura Verifique se o usuário com acesso de leitura pode exibir o incidente de segurança sem ter funções de segurança, mesmo no espaço Yokohama
    Espaço SIR: acesso de gravação Verifique se o usuário com acesso de gravação pode atualizar o incidente de segurança sem ter funções de segurança Yokohama
    Espaço SIR: criar novo incidente de segurança Criar novo incidente de segurança a partir do espaço Yokohama
    Espaço SIR: criar tarefa de resposta Criar nova tarefa de resposta a partir de um incidente de segurança existente Yokohama