Mit Security Incident Response installierte Komponenten
Beim Herunterladen und Aktivieren der Anwendung Security Incident Response werden verschiedene Arten von Komponenten installiert, z. B. Benutzerrollen, Tabellen, Eigenschaften und geplante Aufgaben.
Hinweis:
In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.
Für diese Funktion sind Demodaten verfügbar.
Installierte Eigenschaften
Benutzer mit der Rolle „Systemadministrator“ [admin] können die Eigenschaften anzeigen. Benutzer mit der Rolle „Sicherheitsadministrator“ [sn_si.admin] können sie ändern.
| Eigenschaft | Verwendung |
|---|---|
| Standardmäßige Startzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, formatiert als 08:00 sn_si.default.start.time |
|
| Standardmäßige Endzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, im Format 17:00 sn_si.default.end.time |
|
| Schließen Sie erkennbare Elemente des Zieltyps zusammen mit anderen erkennbaren Elementen des Kontexttyps in die Security Incident-Benutzer- und CI-Beziehungen ein sn_si.link_dest_ip |
Bestimmt, ob ein erkennbares Security Incident-Element mit dem Kontexttyp „Ziel“ auf den Registerkarten „ Konfigurationselemente“ oder „ Betroffene Benutzer “ angezeigt wird. Standardmäßig werden erkennbare Elemente mit einem Zielkontexttyp ausgeschlossen. Um die erkennbaren Elemente einzubeziehen, wählen Sie Ja. |
| Lassen Sie Anpassungen zu, wenn Sie ein Problem oder eine Change-Anforderung aus einem Security Incident erstellen sn_si.popup |
Wenn ein Problem oder ein Change erstellt wird, öffnet diese Eigenschaft ein Popup-Fenster, um die Anforderung zu ändern. Wenn diese Eigenschaften auf falsefestgelegt sind, hat das Problem oder die Change-Anforderung dieselbe Priorität, Kurzbeschreibung und Beschreibung wie der Security Incident, ohne dass diese Felder hinzugefügt oder bearbeitet werden können.
|
| Ordnen Sie die Ergebnisse der Sichtungssuche den CIs in der CMDB zu. sn_si.associate_ci_with_sighting_search |
Bei „true“ enthalten Sichtungssuchergebnisse zugeordnete Konfigurationselemente, die sich in Ihrer CMDB befinden.
|
| Risikopunktzahlen im Bereich werden grün hervorgehoben und im Format 0–49 angegeben sn_si.risk.punktzahl.grün |
In der Liste „Security Incidents“ werden Security Incidents mit einer Risikopunktzahl zwischen 0 und 49 mit einem grünen Punkt markiert. |
| Die Risikopunktzahl im Bereich wird orange hervorgehoben und im Format 50–79 angegeben sn_si.risk.score.orange |
In der Liste „Security Incidents“ werden Security Incidents mit einer Risikopunktzahl zwischen 50 und 79 mit einem orangefarbenen Punkt markiert. |
| Die Risikopunktzahl im Bereich wird rot hervorgehoben und im Format 80–100 angegeben sn_si.risk.score.red |
In der Liste „Security Incidents“ werden Security Incidents mit einer Risikopunktzahl zwischen 80 und 100 mit einem roten Punkt markiert. |
| Dieser Parameter aktiviert oder deaktiviert Sichtungssuchkonfigurationen, die diese Funktion implementiert haben. sn_si.enable_sighting_search |
Bei „true“ können Sichtungssuchen für aktivierte Integrationen durchgeführt werden.
|
| Die Anzahl der Zeilen mit Rohdaten, die gespeichert werden, wenn eine Sichtungssuche ausgeführt wird. Bereich 0 bis 100 sn_si.sighting_search_raw_data_rows |
Diese Eigenschaft ist standardmäßig auf 50 Zeilen mit Rohdaten festgelegt. Die Hälfte der Ergebniszeilen wird ab Beginn des Suchzeitrahmens und die andere Hälfte ab Ende des Suchzeitrahmens gemeldet. Wenn Sie also 50 Zeilen auswählen, stammen 25 vom Beginn des Suchzeitrahmens und 25 vom Ende des Suchzeitrahmens. |
| Incident-Status automatisch auf „Eindämmen“ erhöhen, wenn eine Antwortaufgabe auf „In Bearbeitung“ gesetzt wird sn_si.rollup_task_state |
Erwägen Sie bei der Verwendung von Flows oder Workflows, diese Eigenschaft auf falsezu setzen. Auf diese Weise können Sie den Incident-Status in Flows oder Workflows steuern. Sie hilft auch, potenzielle Konflikte beim Übergang von einem Incident-Status in einen anderen zu vermeiden.
|
| Zuweisungseigenschaften für Security Incident Response | |
| Standortgewichtung sn_si.location.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise der Standort für eine Aufgabe berücksichtigt wird, wird der Standortgewichtungswert der Sicherheitsanalystenbewertung hinzugefügt.
|
| Gewichtung der Kompetenzen sn_si.skills.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise Kompetenzen für eine Aufgabe berücksichtigt werden, wird der Kompetenzgewichtungswert der Sicherheitsanalystenbewertung hinzugefügt.
|
| Legen Sie die maximale Anzahl von Sicherheitsanalysten fest, die durch die automatische Zuweisung verarbeitet werden sollen sn_si.max.agents.verarbeitet |
Das System hat ein absolutes Limit von 300 Sicherheitsanalysten. Wenn Sie mehr als 300 angeben, wird der Wert auf diese Ebene festgelegt. Das System kann eine Aufgabe nicht automatisch für eine Einsatzgruppe versenden, die mehr Sicherheitsanalysten als den konfigurierten Wert enthält.
|
| Gewichtung Zeitzone sn_si.timezone.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise die Zeitzone des Sicherheitsanalysten für eine Aufgabe berücksichtigt wird, wird der Gewichtungswert der Zeitzone der Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Zwischen Ende einer Aufgabe und dem Reistestart der nächsten hinzuzufügende Dauer (in Minuten). sn_si.work.spacing |
Ein Beispiel für einen gültigen Zeitwert ist 10.
|
Angegebene Journalfelder, die Code- Tags enthalten, die den Inhalt als HTML rendern.sn_si.journal_field.html_enabled |
|
| Berechnet die betroffenen Services im Hintergrund. sn_si.refresh_impacted.event |
Die zugehörige Liste „Betroffene Services/Betroffene CIs“ wird durch Events generiert. Wenn diese Option aktiviert ist, wird die Aktualisierung im Hintergrund ausgeführt, und dem Incident werden Sicherheits-Tags hinzugefügt. Legen Sie den Wert auf „true“ fest, um den Vorgang im Hintergrund auszuführen.
|
| Rufen Sie den kritischen Service aus vorab berechneten Daten ab. sn_si.critical_service.calculator.use_cache |
Aktiviert den Rechner für kritische Services, um vorberechnete Daten von Konfigurationselementen zu verwenden. Legen Sie den Wert auf „ true “ fest, um in vorab berechneten Daten zu suchen
|
Installierte Rollen
| Rollentitel [Name] | Beschreibung | Enthält Rollen |
|---|---|---|
| Sicherheitsvorfall-Administrator [sn_si.admin] |
Vollständige Kontrolle über alle Security Incident Response Daten. Verwaltet bei Bedarf auch Gebiete und Kompetenzen. Hinweis: Im Basissystem hat der Administrator auch Zugriff auf sn_si.admin. Security Incident Response kann vom Administrator eingeschränkt werden, solange mindestens einem anderen Benutzer die Sicherheitsadministratorrolle zugewiesen ist. |
|
| Security Incident-Analyst [sn_si.analyst] |
Verwalten Sie Security Incidents. Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Benutzer mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Änderungen und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Security Incident – Standard [sn_si.basic] |
Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Benutzer mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Änderungen und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Chief Information Security Officer (CISO) [sn_si.ciso] |
CISO-Dashboard anzeigen und bearbeiten. Wenn das Plugin Vulnerability Response aktiviert ist, können Benutzer mit dieser Rolle dem Dashboard auch Schwachstellen-Bedeutungsdefinition-Treemaps hinzufügen. Dasselbe können Sie auch mit dem Plugin Security Incident Response tun. |
|
| Security Incident Extern [sn_si.external] |
Zeigen Sie alle Security Incidents an, die zu ihrer jeweiligen Gruppe gehören. Hinweis: Die folgenden beiden Regeln gelten im gesamten ServiceNow, unabhängig vom bereichsbezogenen Administrator oder der bereichsbezogenen App.
|
service_fulfiller |
| Security Incident-Integrationsbenutzer [sn_si.integration_user] |
Externe Tools können neue Security Incident-Datensätze bereitstellen und Security Incident-Datensätze aktualisieren. | import_transformer |
| Security Incident – Wissensadministrator [sn_si.knowledge_admin] |
Verwalten, aktualisieren und löschen Sie die Informationen in der Knowledge Base für Security Incidents. |
|
| Sicherheitsvorfallmanager [sn_si.manager] |
Gleicher Zugriff wie Sicherheitsanalysten. |
|
| Lesen Sie den Security Incident [sn_si.read] |
Lesen Sie Security Incidents. |
|
| Zugriffsmanager für Sicherheitsbeschränkungen [sn_si.restriction_access_manager] | Ermöglicht Benutzern oder Gruppen, Einschränkungen für Security Incidents durchzusetzen. Dies gilt nur für Feldänderungen. | N/V |
| Security Incident – Spezieller Zugriff sn_si.special_access |
Bietet Zugriff auf bestimmte Security Incidents für Benutzer außerhalb der Security Operations-Organisation. | N/V |
| Security Special Access Enabler [sn_si.special_access_enabler] | Bietet einem Benutzer außerhalb der Security Operations-Organisation eine spezielle Zugriffsrolle für bestimmte Security Incidents. | N/V |
| Security Incident – Sonderzugriff – Lesemanager [sn_si.special_access_read_manager] | Verwalten Sie die Rolle „Security Incident – Spezialzugriff“ [sn_si.special_access]. Verwenden Sie diese Rolle, um das Feld Lesezugriff im Security Incident-Formular zu ändern. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si.special_access_enabler |
| Security Incident – Manager für Sonderzugriffsautoren [sn_si.special_access_write_manager] | Verwalten Sie die Rolle „Security Incident – Spezialzugriff“ [sn_si.special_access]. Verwenden Sie diese Rolle, um das Feld Privilegierter Zugriff im Security Incident-Formular zu ändern. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si.special_access_enabler |
Installierte Scheduled Jobs
| Regelmäßige Aufgabe | Beschreibung |
|---|---|
| Suchen Sie nach erkennbaren Security Incident-Elementen | Führt eine Suche nach erkennbaren Elementen in einem benutzerdefinierten Zeitplan durch. |
Installierte Tabellen
| Tabelle | Beschreibung |
|---|---|
| Nachrichtenfeed-Konfiguration [sn_si_feed_configuration] |
Konfigurationsdatensätze, die zum Definieren des im Security Incident-Newsfeed angezeigten Inhalts verwendet werden. |
| Zuweisungsregel für die Überprüfung nach Incidents [sn_si_pir_condition] |
Automatisiert die Auswahl von Teilnehmern einer Umfrage zur Überprüfung nach Incidents, wenn ein Security Incident geschlossen wird. |
| Security Incident [sn_si_incident] |
Speichert einen Security Incident, die Antworten auf den Incident, alle verknüpften Aufgaben, Changes, Probleme und Incidents im Zusammenhang mit diesem Security Incident |
| Security Incident-Angriffsvektoren [sn_si_attack_vector] |
Optionen für Angriffsvektoren |
| Security Incident Audit-Protokoll [sn_si_audit_log] |
Speichert Audit-Protokolle zur Ergänzung von Security Incidents. |
| Security Incident-Rechner [sn_si_calculator] |
Ein Rechner zum Festlegen bestimmter Security Incident-Felder, wenn bestimmte Bedingungen erfüllt sind. |
| Security Incident-Rechnergruppe [sn_si_calculator_group] |
Eine Gruppierung von Security Incident-Rechnern. Die Reihenfolge der Rechnergruppe bestimmt, welche Gruppe zuerst ausgewertet wird, und in jeder Gruppe wird höchstens ein Rechner verwendet. |
| Security Incident Enrichment-Firewall [sn_si_enrichment_firewall] |
Erweitert aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle für die Palo Alto Networks-Firewall spezifischen Ergänzungsdatensätze. |
| Security Incident-Ergänzung – Malware-Ergebnisse [sn_si_enrichment_malware] |
Erweitert aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle für Malware spezifischen Ergänzungsdatensätze. |
| Netzwerkstatistiken zur Ergänzung von Security Incidents [sn_si_enrichment_network_statistics] |
Erweitert aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle Ergänzungsdatensätze, die für Netzwerkstatistiken spezifisch sind. |
| Ausgeführte Prozesse der Ergänzung von Security Incidents [sn_si_enrichment_running_processes] |
Erweitert aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle Ergänzungsdatensätze, die für laufende Prozesse spezifisch sind. |
| Security Incident-Ergänzung – Laufende Services [sn_si_enrichment_running_service] |
Erweitert aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle Ergänzungsdatensätze, die für ausgeführte Services spezifisch sind. |
| Security Incident-E-Mail-Suche [sn_si_m2m_incident_email_search] |
Ordnet E-Mail-Suchdatensätze Security Incidents zu. |
| Security Incident-Import [sn_si_incident_import] |
Importtabelle für Security Incidents. Wird verwendet, um Security Incidents aus externen Systemen zu erstellen. |
| Definition des Security Incident-Prozesses [sn_si_process_definition] |
Speichert die Konfiguration für Security Incident-Prozess-Flows. |
| Auswahl der Prozessdefinition für Security Incidents [sn_si_process_definition_selector] |
Speichert die Definition des Security Incident-Prozesses, die für Security Incidents verwendet werden soll. |
| Security Incident-bezogener Kundenservicefall [sn_si_m2m_incident_customerservice_case] |
Ordnet Kundenservicefälle und Security Incidents zu |
| Zugehörige Ergänzungsdaten für Security Incidents [sn_si_m2m_incident_enrichment] |
Ordnet Security Incidents und zugehörige Ergänzungsdatensätze zu. |
| Security Incident Response Aufgabe [sn_si_task] |
Verwaltet Teilaufgaben im Zusammenhang mit der Behandlung eines Security Incident. Diese Aufgaben können Sicherheitspersonal oder Personen in anderen Abteilungen zugewiesen werden, um die Kommunikation zwischen Abteilungen und die Aufgabennachverfolgung zu verwalten. |
| Security Incident Response Aufgabenvorlage [sn_si_task_template] |
Wird verwendet, um eine Security Incident Response -Aufgabe zu erstellen. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um automatisch einen Satz geeigneter Teilaufgaben für eine bestimmte Art von Security Incident zu erstellen. |
| Security Incident-Runbook-Dokument [sn_si_runbook_document] |
Ordnet Bedingungen oder Filter für Security Incidents einem Wissensartikel zu. Wird verwendet, um Runbook-Verfahren für die Korrektur von Security Incidents anzugeben. |
| Security Incident-Vorlage [sn_si_incident_template] |
Wird verwendet, um einen Security Incident zu erstellen. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um einen vordefinierten Security Incident zu erstellen. |
| Sicherheitsanforderung [sn_si_request] |
Eine sicherheitsbezogene Anforderung an das Sicherheitsteam. |
| Anforderung eines Sicherheitsscans [sn_si_scan_request] |
Eine Anforderung für eine Bedrohungssuche. |
| Schweregradrechner sn_si_severity_calculator |
Definiert die Werte für Schweregrad, Auswirkung, Risiko und Relevanz für einen Security Incident. |
| Von Aufgabe betroffener Benutzer [sn_si_m2m_task_affected_user] |
Eine m:n-Tabelle, die Security Incidents betroffenen Benutzern zuordnet. |
| Vorlagen-Workflow – Aktivitätsergebnisauswertung [sn_si_wf_activity_outcome_evaluator] |
Ordnet eine Fähigkeit einem Bewertungsskript zu. Ein neuer Subflow kann einem Vorlagen-Workflow hinzugefügt werden, um das Ergebnis einer Antwortaufgabe festzulegen, anstatt es von einem Analysten manuell festlegen zu lassen. |