Security Case Management

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Security Case Management bietet Sicherheitsanalysten, die an der Bedrohungssuche beteiligt sind, die Möglichkeit, Informationen über verdächtige Aktivitäten in ihrer Umgebung zu sammeln. Fallbezogene Datensätze wie Security Incidents, erkennbare Elemente, CIs und betroffene Benutzer können Fällen hinzugefügt werden, um eine umfassende und spezifische Analyse zu ermöglichen.

    Mit der Möglichkeit, einfach durch die Datensätze und zugehörigen Informationen zu navigieren, können Analysten beurteilen, ob sie einer gezielten Kampagne, einer erweiterten persistenten Bedrohung usw. ausgesetzt sind.

    Sicherheitsfälle können aus verschiedenen Quellen in Ihrer Instanz erstellt werden, einschließlich Security Case Management, Security Incident Responseund Threat Intelligence. Sie können Fälle auch aus Konfigurationselementen und betroffenen Benutzern in den Tabellen „Konfigurationselemente“ [cmdb.ci] und „Benutzer“ [sys.user] erstellen. Nachdem Fälle erstellt wurden, kann jede dieser Quellen auch verwendet werden, um vorhandenen Fällen wertvolle Analyseressourcen hinzuzufügen.

    Jeder Sicherheitsfall besteht aus drei Hauptabschnitten, einem Header-Abschnitt, einem Abschnitt mit zusätzlichen Falldetails und einem Abschnitt mit Fallartefakten, der eine Sammlung von Datensätzen enthält, die beim Erstellen eines Arguments für die Identifizierung und Behandlung bestimmter Bedrohungen helfen.

    Fall-Header

    Abbildung : 1. Fall-Header-Abschnitt
    Fall-Header

    Der Fall-Header enthält grundlegende Informationen zum Identifizieren und Klassifizieren des Sicherheitsfalls. Die Fallnummer verwendet das SECC-Präfix.

    Zusätzliche Falldetails

    Abbildung : 2. Abschnitt „Zusätzliche Falldetails“.
    Zusätzliche Falldetails

    Der Abschnitt „ Zusätzliche Falldetails “ enthält spezifische Informationen für die Analyse, die bereits für den Fall durchgeführt wurde, einschließlich des aktuellen Status sowie der für den Fall aufgezeichneten Arbeitsnotizen und Aktivitäten.

    Fallartefakte

    Abbildung : 3. Abschnitt „Fallartefakte“.
    Fallartefakte

    Der Abschnitt „ Fallartefakte “ enthält eine Reihe von Registerkarten mit Informationen, die im Sicherheitsfall enthalten sind.

    Sie können den Inhalt jeder Registerkarte durchsuchen. Sie können auch bestimmte Datensätze ausschließen, die Sie bereits als sicher eingestuft haben oder die für Ihre Untersuchung keinen Wert haben. Die ausgeschlossenen Datensätze werden nicht gelöscht, sondern in der Ansicht ausgeblendet. Bei Bedarf können Sie ausgeschlossene Datensätze anzeigen und wieder hinzufügen.

    Auf jeder Registerkarte können Sie auf das Symbol Zusätzliche Details klicken, um zugehörige Informationen für den ausgewählten Datensatz anzuzeigen. Wenn Sie beispielsweise auf die Registerkarte Konfigurationselemente klicken, um den Explorer für Konfigurationselemente anzuzeigen, und für ein bestimmtes CI auf Zusätzliche Details klicken, können Sie Incidents, angreifbare Elemente und Anmerkungen anzeigen, die diesem CI zugeordnet sind.
    Abbildung : 4. Fallartefakte: zugehörige Details
    Zugehörige Daten zu CIs
    Sie können auch einen Datensatz auswählen und auf die Schaltfläche Kommentieren für ein fallbezogenes Artefakt klicken, um dem Datensatz Anmerkungen hinzuzufügen. Anmerkungen sind einfach Notizen, die jeder Analyst zu einem bestimmten Artefakt machen kann.
    Abbildung : 5. Sicherheitsanmerkungen
    Anmerkungen
    Andere Tools, die der Analyst zur Untersuchung von Fällen verwenden kann: