Andere zusätzliche Security Incident Response Richten Sie Aufgaben ein

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 9 Minuten Lesedauer

    • Wenn Sie Administrator in der globalen Domäne sind, konfigurieren Sie wie Security Incident Response Verarbeitet tägliche Vorgänge.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:

    Diese Optionen sind Standard für viele Servicemanagement-Anwendungen und verwenden daher Servicemanagement-Terminologie. Beispielsweise wird „Anforderung“ für die Hauptaufgabe (d. h. den Security Incident) und „Aufgabe“ für Teilaufgaben oder Antwortaufgaben verwendet.

    Wenn Sie ein Administrator in einer Domäne unterhalb der globalen Domäne sind, können Sie den Bildschirm „Konfigurationen“ anzeigen, die Einstellungen jedoch nicht ändern.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Konfigurationan.
      Die Optionen zum Konfigurieren der Anwendungen sind unter diesen Registerkarten organisiert:
      • Die Geschäftsprozess Die Registerkarte enthält Optionen zum Einrichten des Anforderungslebenszyklus, zum Erstellen von Katalogen und Anforderungen und zum Konfigurieren von Benachrichtigungen.
      • Die Zuweisung Die Registerkarte enthält Optionen zum Einrichten der manuellen und automatischen Zuweisung.
      • Die Add-ons Die Registerkarte enthält Optionen zum Aktivieren der Knowledge Base, verwalteter Dokumente und Aufgabenaktivitäten.
    2. Füllen Sie die Felder auf aus Geschäftsprozess Registerkarte.
      Tabelle : 1. Konfigurationsbildschirm – Registerkarte „Geschäftsprozess“
      Feld Beschreibung
      Lebenszyklus
      Arbeitsnotizen sind erforderlich, um eine Anforderung oder Aufgabe zu schließen oder abzubrechen Aktivieren Sie diese Option, damit der Anwender Arbeitsnotizen eingeben muss, bevor ein Security Incident oder eine Antwortaufgabe geschlossen oder abgebrochen werden kann.
      Kopieren Sie Aufgabenarbeitsnotizen in die Anforderung Aktivieren Sie diese Option, um Arbeitsnotizen für Antwortaufgaben mit den Arbeitsnotizen zum Security Incident zu synchronisieren. Wenn Arbeitsnotizen in der Aufgabe hinzugefügt werden, werden im übergeordneten Security Incident dieselben Arbeitsnotizen angezeigt.
      Katalog- und Anforderungserstellung
      Erstellen oder aktualisieren Sie Anforderungen per eingehender E-Mail Aktivieren Sie diese Option, um Security Incidents aus eingehenden E-Mails zu erstellen oder zu aktualisieren.
      Anforderungen werden mit erstellt Wählen Sie Aus Katalog- oder reguläres Formular Dient zum Aktivieren des Katalogs und zum Aktivieren der automatischen Veröffentlichung von Security Incident-Vorlagen im Katalog.

      Wählen Sie Aus Nur reguläres Formular Zum Deaktivieren des Katalogs und zum Deaktivieren der automatischen Veröffentlichung von Security Incident-Vorlagen im Katalog.
      Vorlagen erstellen ein dediziertes Katalogelement Aktivieren Sie diese Option, um die automatische Veröffentlichung von Katalogelementen für die Anwendung zu aktivieren.
      Benachrichtigungen
      Senden Sie für eine Anforderung oder Aufgabe eine Benachrichtigung an Empfänger, wenn sich das ausgewählte Feld ändert Sie können Benachrichtigungen konfigurieren, die an bestimmte Empfänger gesendet werden, wenn sich ausgewählte Felder in Security Incidents und Antwortaufgaben ändern.
      1. Von Tabelle , Auswählen Anforderung (Security Incident Oder Aufgabe (Antwortaufgabe) .
      2. Von Feld , Wählen Sie das Feld aus, das zum Generieren von Benachrichtigungen verwendet werden soll. Wenn eine Änderung am ausgewählten Feld vorgenommen wird, wird eine Benachrichtigung an die identifizierten Empfänger gesendet.
      3. Von Empfänger , Wählen Sie einen oder mehrere Empfänger aus.
      4. Wenn Sie auswählen Ein bestimmter Anwender Oder Eine bestimmte Gruppe , Sie werden aufgefordert, einen Anwender oder eine Gruppe auszuwählen.
      5. Um weitere Benachrichtigungen mit anderen Feldern oder Empfängern zu definieren, wiederholen Sie die vorherigen Schritte für den nächsten Satz von Benachrichtigungseinstellungen.
      6. Um eine Benachrichtigung zu entfernen, wählen Sie aus Löschen Sie das BenachrichtigungssymbolSymbol rechts neben der Benachrichtigung.
    3. Klicken Sie auf Zuweisung Registerkarte und füllen Sie die Felder aus.
      Tabelle : 2. Konfigurationsbildschirm – Registerkarte „Zuweisung“
      Feld Beschreibung
      Zuweisungsmethode für Anforderungen Wählen Sie die Methode für die Zuweisung von Security Incidents aus:
      • Automatische Zuweisung wird verwendet : Security Incidents werden automatisch zugewiesen.
      • Verwenden eines Workflows : Security Incidents werden vom ausgewählten Workflow zugewiesen.
      • Manuell : Security Incidents werden manuell zugewiesen.
      Verwenden Sie diesen Workflow, um Anforderungen zuzuweisen Wählen Sie den Workflow für das Senden von Security Incidents aus. Dieses Feld wird angezeigt, wenn Verwenden eines Workflows Ist aus ausgewählt Zuweisungsmethode für Anforderungen Liste.
      Zuweisungsmethode für Aufgaben Wählen Sie die Methode für die Zuweisung von Antwortaufgaben aus:
      • Automatische Zuweisung wird verwendet : Antwortaufgaben werden automatisch zugewiesen.
      • Verwenden eines Workflows : Antwortaufgaben werden vom ausgewählten Workflow zugewiesen.
      • Manuell : Antwortaufgaben werden manuell zugewiesen.
      Verwenden Sie diesen Workflow, um Aufgaben zuzuweisen Wählen Sie den Workflow für die Zuweisung von Antwortaufgaben aus. Dieses Feld wird angezeigt, wenn Verwenden eines Workflows Ist aus ausgewählt Zuweisungsmethode für Aufgaben Liste.
      Weisen Sie Anforderungen oder Aufgaben basierend auf den Abdeckungsbereichen der Zuweisungsgruppe zu Aktivieren Sie diese Option, um die Zuweisung von Security Incidents und Antwortaufgaben auf Gruppen zu beschränken, die den Standort der Aufgabe abdecken.
      Zeitplanung
      Die automatische Auswahl von Service Desk-Mitarbeitern berücksichtigt die Zeitzone für Aufgaben Aktivieren Sie diese Option, um die Zeitzone des Service Desk-Mitarbeiters beim Zuweisen einer Aufgabe zu berücksichtigen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Zusätzliche Faktoren
      Bei der automatischen Auswahl von Service Desk-Mitarbeitern wird der Standort von Service Desk-Mitarbeitern berücksichtigt Aktivieren Sie diese Option, um Service Desk-Mitarbeitern, die näher am Aufgabenstandort sind, beim Zuweisen von Aufgaben eine Präferenz zu geben. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Die automatische Auswahl von Service Desk-Mitarbeitern für Aufgaben erfordert, dass sie über Kompetenzen verfügen Wählen Sie den Grad aus, in dem die Kompetenzen des Service Desk-Mitarbeiters bei der Bestimmung der automatischen Zuweisung mit einer Aufgabe abgeglichen werden müssen.
      • Wählen Sie Aus Alle Um zu verlangen, dass ein zugewiesener Service Desk-Mitarbeiter über alle Kompetenzen verfügen muss, um die Aufgabe auszuführen. Ein Service Desk-Mitarbeiter, dem nur eine Kompetenz fehlt, wird eliminiert.
      • Wählen Sie Aus Einige Wenn Sie Service Desk-Mitarbeiter möchten, die über die meisten Kompetenzen verfügen, die zum Ausführen der Aufgabe erforderlich sind.
      • Wählen Sie Aus Keine Wenn Sie Service Desk-Mitarbeiter automatisch zuweisen möchten, ohne Kompetenzen zu berücksichtigen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Automatische Auswahl versucht, allen Aufgaben in einer Anforderung denselben Service Desk-Mitarbeiter zuzuweisen Aktivieren Sie diese Option, um alle Antwortaufgaben für einen Security Incident automatisch demselben Service Desk-Mitarbeiter zuzuweisen.
    4. Klicken Sie auf Add-ons Registerkarte und füllen Sie die Felder aus.
      Tabelle : 3. Konfigurationsbildschirm – Registerkarte „Add-ons“
      Feld Beschreibung
      Dokumentation
      Aktivieren Sie eine dedizierte Knowledge Base Aktivieren Sie diese Option, um die Knowledge Base für zu aktivieren Security Incident Response.
      Verwaltete Dokumente aktivieren Aktivieren Sie diese Option, um verwalteten Dokumenten eine zugehörige Liste hinzuzufügen.
      Aktivieren Sie Aufgabenaktivitäten Aktivieren Sie diese Option, um Aufgabeninteraktionen und -Kommunikation wie Telefonanrufe und E-Mail-Nachrichten zu protokollieren.
    5. Klicken Sie auf Speichern.

    Sperren Sie die Sicherheitsverwaltung

    Um Untersuchungen zu schützen und Security Incidents privat zu halten, können Sie einschränken Security Incident Response Zugriff auf sicherheitsspezifische Rollen und ACLs. Administratoren, die nicht sicherheitsbezogen sind, können Zugriff verweigert werden, es sei denn, Sie lassen ihnen ausdrücklich den Eintritt zu.

    Vorbereitungen

    Wenn Security Incident Response Die Anwendung ist aktiviert, und dem Systemadministratoranwender wird standardmäßig die Rolle „sn_si.admin“ gewährt. Der Systemadministrator ist der einzige Administrator, der Sicherheitsgruppen und Anwender einrichten kann.

    Eine Sicherheitsrolle ist erforderlich, um Zugriff auf zu haben Security Incident Response Funktionen und Datensätze.

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Nach Security Incident Response Plugin wurde aktiviert. Ein Anwender mit der Administratorrolle weist mindestens einem Anwender die bereichsbezogene Administratorrolle (sn_si.admin) zu.
    2. Der Anwender mit der Administratorrolle ändert sich in den Bereich von Security Incidents.
    3. Navigieren zu Alle > sys_Store_App.listan.
    4. Typ sn_si In Umfang Feld.
      Systemanwendungen.
    5. Klicken Sie Auf Antwort Auf Security Incidents .
    6. Scrollen Sie nach unten zu Zugehörige Links Und klicken Sie auf Entfernen Sie aus der Rolle des Administrators .
    7. Melden Sie sich ab, und melden Sie sich erneut an.
      Der Administratoranwender kann nicht auf zugreifen Security Incident Response Anwendung.

    Verwalten Sie Eingeschränkten Anruferzugriff

    Mit der Funktion „eingeschränkter Anruferzugriff“ (RCA) kann ein Administrator den bereichsübergreifenden Zugriff auf eine Anwendung oder Anwendungsressource definieren und Zugriffsanforderungen zulassen oder verweigern. Diese Funktion ist in aktiviert Security Incident Response Standardmäßig können Sicherheitsanalysten vertrauliche sicherheitsbezogene Informationen schützen.

    Ein Feld namens Anruferzugriff Wurde allen Tabellen und Skripteinbindungen in hinzugefügt Security Incident Response, Und das Feld ist standardmäßig auf Anrufernachverfolgung . Diese Einstellung bedeutet, dass Anwendungsbereiche Zugriff auf haben Security Incident Response Tabellen und Skripteinbindungen. Für jeden Datensatz wird jedoch ein Nachverfolgungsdatensatz erstellt und in der Tabelle „eingeschränkte Anruferzugriffsberechtigung“ [sys_restricted_caller_access] gespeichert.
    Hinweis:
    Gehen Sie beim Ändern von Datensätzen von vorsichtig vor Anrufernachverfolgung Bis Anrufer Eingeschränkt . Auf Datensätze mit diesem Status kann erst zugegriffen werden, wenn ein Administrator manuell Zugriff darauf gewährt. Der Administrator muss zu navigieren Systemanwendungen > Anwendung – Eingeschränkter Aufruferzugriff, Suchen Sie die Tabelle oder Skripteinbindung, für die der Zugriff angefordert wurde, und ändern Sie Status Feld von Angefordert Bis Zulässig .

    Schnellstarttests für Security Incident Response ausführen

    Validieren Sie das Security Incident Response Funktioniert weiterhin, nachdem Sie Konfigurationsänderungen vorgenommen haben, z. B. das Anwenden eines Upgrades oder die Entwicklung einer Anwendung. Kopieren Sie diese Schnellstarttests und passen Sie sie an, um sie bei der Verwendung Ihrer instanzspezifischen Daten zu übergeben.

    Security Incident Response Schnellstarttests erfordern die Aktivierung des Plugins „Reaktion auf Security Incidents“ (com.snc.security_incident) und das Laden der Demodaten.

    Tabelle : 4. Security Incident Response Tests
    Test Beschreibung Freigabeversion
    SIR: Security Incident erstellen Legen Sie fest, ob ein Anwender erfolgreich einen Security Incident über das Security Incident-Formular erstellen kann. Madrid
    SIR: Erstellen Sie einen Security Incident über den Security Incident-Katalog Legen Sie fest, ob ein Anwender erfolgreich einen Security Incident aus dem Katalog erstellen kann. Madrid
    SIR: OOTB-Konfigurationstest für PIR-Bewertungen Mit diesem Test können Sie PIR-Bewertungen und Basissystemkonfigurationen validieren. Tokyo
    SIR: Bedingte Konfigurationstests für PIR-Bewertungen

    Verifiziert, dass Security Incidents, die der obligatorischen bedingten Regel entsprechen, erst geschlossen werden, wenn die Bewertung nach dem Incident abgeschlossen ist.

    Stellen Sie sicher, dass die Security Incidents, die der optionalen bedingten Regel entsprechen, geschlossen werden können, ohne die Bewertung nach dem Incident abzuschließen.

    Verifiziert, dass für Security Incidents, die keiner Regel entsprechen, keine Bewertungen generiert werden.

    		 Tokyo
    SIR: PIR-Laufzeit-Experience Überprüft, ob PIR-Berichte gemäß dem neuen Design konfiguriert und an Sicherheits-Incidents angehängt werden. Tokyo
    SIR: PIR-Designzeit-Experience Überprüft, ob der Sicherheit-Incident je nach Administratorkonfiguration der Berichtsvorlage zugeordnet wird. Tokyo
    SIR: Verknüpfen Sie einen Security Incident mit einem vorhandenen schwerwiegenden Security Incident Verknüpfen Sie einen Security Incident mit einem vorhandenen schwerwiegenden Security Incident, und validieren Sie Daten aus Security Incidents, die bis zu schwerwiegenden Security Incidents zusammengefasst wurden. Tokyo
    SIR: Security Incident als schwerwiegenden Security Incident heraufstufen Heraufstufen eines Security Incidents als schwerwiegenden Security Incident und validieren Daten aus Security Incidents, die bis zu schwerwiegenden Security Incidents zusammengefasst wurden. Tokyo
    SIR: Security Incident als schwerwiegenden Security Incident vorschlagen Schlagen Sie einen Security Incident als einen schwerwiegenden Security Incident vor, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Tokyo
    SIR: Lebenszyklus des Sicherheitsincident Validieren Sie einen Lebenszyklus von Security Incidents mit dem Workflow für Antwortaufgaben für Richtlinienverstöße. Yokohama
    SIR: Sicherheitsfall erstellen Erstellen Sie einen Sicherheitsfall aus dem Formular „Security Incident“. Yokohama
    Verifiziert, dass nur zulässige Mitglieder auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist Verifiziert, dass nur die zulässigen Mitglieder auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist. Yokohama
    Stellen Sie sicher, dass Security Incident, der mit „Einschränkung erzwingen“ aktiviert ist, für keinen Anwender sichtbar ist Stellen Sie sicher, dass Security Incident, der mit „Einschränkung erzwingen“ aktiviert ist, für keinen Anwender sichtbar ist. Yokohama
    Lesezugriff validieren Validieren Sie den Ansichtszugriff. Yokohama
    Validieren Sie Den Schreibzugriff Validieren Sie den Bearbeitungszugriff. Yokohama
    SIR-Arbeitsbereich: Lesezugriff Stellen Sie sicher, dass der Lesezugriff-Anwender den Security Incident anzeigen kann, ohne über Sicherheitsrollen selbst im Arbeitsbereich zu verfügen. Yokohama
    SIR-Arbeitsbereich: Schreibzugriff Stellen Sie sicher, dass der Schreibzugriff-Anwender den Security Incident aktualisieren kann, ohne über Sicherheitsrollen zu verfügen. Yokohama
    SIR-Arbeitsbereich: Neuen Security Incident erstellen Erstellen Sie einen neuen Security Incident aus dem Arbeitsbereich. Yokohama
    SIR-Arbeitsbereich: Antwortaufgabe erstellen Erstellen Sie eine neue Antwortaufgabe aus einem vorhandenen Security Incident. Yokohama
    Now Assist für Sicherheit: Zusammenfassung aktiver Security Incidents Fassen Sie einen aktiven Security Incident zusammen, und validieren Sie die angezeigten Abschnitte. Zurich

    Now Assist für Sicherheit: Zusammenfassung von Security Incidents_Share zu Arbeitsnotizen

    		 Geben Sie die generierte Zusammenfassung für Arbeitsnotizen frei. Zurich
    Now Assist für Sicherheit: Zusammenfassung geschlossener Security Incidents Fassen Sie einen geschlossenen Security Incident zusammen, und validieren Sie die angezeigten Abschnitte. Zurich