Workflow-Vorlage für Security Incident Rogue Server oder Service

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Mit der Vorlage „Security Incident – Nicht autorisierter Server oder Service“ können Sie eine Reihe von Aufgaben ausführen, die darauf ausgelegt sind, Aktivitäten von nicht autorisierten Servern oder Diensten zu verarbeiten, die sich auf Ihr Netzwerk auswirken.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn die Kategorie in einem Security Incident auf Rogue-Server oder -Servicefestgelegt wird. Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Nicht autorisierter Server oder Service
    Workflow-Vorlage für nicht autorisierten Server oder Service

    Prozedur

    1. Öffnen Sie den Security Incident für diesen potenziellen Angriff, oder erstellen Sie einen neuen Security Incident.
    2. Wählen Sie unter Kategoriedie Aktivität für nicht autorisierte Server oder Services aus.
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie die zugehörige Liste Antwortaufgaben.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Jedes Mal, wenn der Datensatz gespeichert wird, führt Ihre Antwort auf die vorherige Aufgabe entweder dazu, dass die nächste Antwortaufgabe erstellt wird, oder der Workflow beendet wird.
      Tabelle : 1. Antwortaufgaben in Rogue-Server oder Servicevorlage
      Antwortaufgabe Aktion Ergebnisse
      Nicht autorisierter Server oder Service verifiziert? Stellen Sie fest, ob eine Verbindung mit einem nicht autorisierten Server oder Service in Ihrem Netzwerk verifiziert wurde.

      Wählen Sie in der Aufgabe Ja oder Nein in Ergebnisaus.

      		 Wenn Sie Jaauswählen, werden die folgenden beiden Aufgaben parallel ausgeführt:
      • Betroffene Systeme identifizieren
      • Potenzieller Datenverlust?

      Wenn Sie Neinauswählen, wird der Flow beendet.
      Betroffene Systeme identifizieren Bestimmen Sie die Systeme, die durch den Kontakt mit dem nicht autorisierten Server oder Service betroffen sind. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „System(e) aktualisieren – Nicht autorisierte Verbindungen entfernen“ ausgeführt.
      Potenzieller Datenverlust? Stellen Sie fest, ob die Verbindung mit dem nicht autorisierten Server oder Service potenziellen Datenverlust verursacht hat.

      Wählen Sie in der Aufgabe Ja oder Nein in Ergebnisaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe Incident mit potenziellem Datenverlust erstellen ausgeführt.

      Wenn Sie Neinauswählen, wird die Aufgabe „System aktualisieren – Nicht autorisierte Verbindungen entfernen“ ausgeführt.
      Erstellen Sie einen potenziellen Datenverlust-Incident Führen Sie die erforderlichen Schritte aus, um einen Security Incident für den potenziellen Datenverlust zu erstellen. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „System(e) aktualisieren – Nicht autorisierte Verbindungen entfernen“ ausgeführt.
      System aktualisieren: Entfernen Sie nicht autorisierte Verbindungen Führen Sie die erforderlichen Schritte aus, um die nicht autorisierten Verbindungen zu entfernen. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „Status auf Überprüfung festlegen“ ausgeführt.
      Legen Sie den Status auf Überprüfung fest Keine Aktion erforderlich. Der Status des Security Incident wird automatisch in Überprüfunggeändert, und die Besprechungsaufgabe „Erlernte Lektionen“ wird ausgeführt.
      Besprechung der gelernten Lektionen Führen Sie eine Besprechung mit gelernten Lektionen durch, um die für diesen nicht autorisierten Server oder Service-Incident durchgeführte Arbeit zu selektieren.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Wenn diese Aufgabe abgeschlossen ist, endet der Flow.