Incident oder Security Incident aus einer Warnung erstellen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Wenn eine Warnung eskaliert und einer Person zugewiesen werden muss, die das zugrunde liegende Problem lösen kann, können Sie einen Incident öffnen.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin, evt_mgmt_operator oder evt_mgmt_user

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Security Incident Response aktiviert ist, können Sie einen Security Incident erstellen.

    Sie können Incidents und Sicherheits-Incidents manuell über das Warnungsformular erstellen. Um doppelte Aufgaben zu vermeiden, überprüft das System die Bedingungen aller Aufgabenvorlagen, bevor ein Incident erstellt wird.

    Sie können den erstellten Incident mithilfe der EvtMgmtCustomIncidentPopulator.populateFieldsFromAlertSkripteinbindung anpassen. Die Anpassung umfasst das Zuordnen von Feldern von der Warnung zum Incident oder das Abbrechen der Incident-Erstellung gemäß benutzerdefinierten Bedingungen. Weitere Informationen finden Sie unter Benutzerdefinierte Warnungsfelder.

    Sie können Incident-Felder mithilfe von benutzerdefinierten Warnungsfeldwerten aus zusätzlichen Informationsfeldern ausfüllen. Verwenden Sie die Skripteinbindung EvtMgmtCustomIncidentPopulator, um die Werte nach dem Kopieren der Daten in die Warnung in den Incident zu kopieren. Weitere Informationen finden Sie unter Benutzerdefinierte Warnungsfelder.

    Hinweis:
    Wenn Security Incident Response aktiviert ist, enthält das Basissystem eine Warnungsaktionsregel namens Create security incidents for critical alerts (Sicherheitsvorfälle für kritische Warnungen erstellen). Diese Warnungsaktionsregel erstellt Sicherheitsvorfälle, wenn kritische Sicherheitsereignisse gemeldet werden.

    Prozedur

    1. Navigieren zu Alle > Ereignismanagement > Alle Warnungen.
    2. Klicken Sie auf die Nummer der Warnung.
    3. So erstellen Sie einen Incident:
      • Zum Erstellen eines Incidents klicken Sie auf Quick Incident.
      • Zum Erstellen von Security Incidents klicken Sie auf Security Incident erstellen. Sie müssen das Security-Plugin (SecOps) installieren, um diese Option zu aktivieren.
    4. Klicken Sie auf Aktualisieren.

    Ergebnisse

    Der erstellte Incident wird im Feld Aufgaben im Warnungsformular angezeigt.