Andere zusätzliche Security Incident Response Setup-Aufgaben

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 8 Minuten Lesedauer

    • Wenn Sie Administrator in der globalen Domäne sind, konfigurieren Sie, wie Security Incident Response mit täglichen Vorgängen umgeht.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:

    Diese Optionen sind in vielen Service Management-Anwendungen Standard und verwenden daher die Service Management-Terminologie. Zum Beispiel wird „Anforderung“ für die Hauptaufgabe (d. h. den Security Incident) verwendet, und „Aufgabe“ wird für Teilaufgaben oder Antwortaufgaben verwendet.

    Wenn Sie Administrator in einer Domäne unter der globalen Domäne sind, können Sie den Bildschirm „Konfigurationen“ anzeigen, die Einstellungen jedoch nicht ändern.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Konfiguration.
      Die Optionen zum Konfigurieren der Anwendungen sind auf den folgenden Registerkarten organisiert:
      • Die Registerkarte Geschäftsprozess enthält Optionen für das Einrichten des Anforderungslebenszyklus, das Erstellen von Katalogen und Anforderungen und das Konfigurieren von Benachrichtigungen.
      • Die Registerkarte Zuweisung enthält Optionen für die Einrichtung der manuellen und automatischen Zuweisung.
      • Die Registerkarte Add-Ons enthält Optionen zum Aktivieren der Wissensdatenbank, verwalteter Dokumente und von Aufgabenaktivitäten.
    2. Füllen Sie die Felder auf der Registerkarte Geschäftsprozess aus.
      Tabelle : 1. Konfigurationsbildschirm – Registerkarte „Geschäftsprozess“.
      Feld Beschreibung
      Lebenszyklus
      Zum Schließen oder Abbrechen einer Anforderung oder Aufgabe sind Arbeitsnotizen erforderlich. Aktivieren Sie diese Option, damit der Benutzer Arbeitsnotizen eingeben muss, bevor ein Security Incident oder eine Antwortaufgabe geschlossen oder abgebrochen werden kann.
      Arbeitsnotizen zur Aufgabe in die Anforderung kopieren Aktivieren Sie diese Option, um Arbeitsnotizen zur Antwortaufgabe mit den Arbeitsnotizen zum Security Incident zu synchronisieren. Wenn also Arbeitsnotizen in der Aufgabe hinzugefügt werden, werden dieselben Arbeitsnotizen im übergeordneten Security Incident angezeigt.
      Katalog- und Anforderungserstellung
      Anforderungen per eingehender E-Mail erstellen und aktualisieren Aktivieren Sie diese Option, um Security Incidents aus eingehenden E-Mails zu erstellen oder zu aktualisieren.
      Anforderungen werden erstellt mit Wählen Sie Katalog oder ein reguläres Formular aus, um den Katalog zu aktivieren und die automatische Veröffentlichung von Security Incident-Vorlagen im Katalog zu ermöglichen.

      Wählen Sie nur das reguläre Formular aus, um den Katalog zu deaktivieren und die automatische Veröffentlichung von Security Incident-Vorlagen im Katalog zu deaktivieren.
      Mit Vorlagen wird ein eigenes Katalogelement erstellt. Aktivieren Sie diese Option, um die automatische Veröffentlichung von Katalogelementen für die Anwendung zu aktivieren.
      Benachrichtigungen
      Wenn sich bei einer Anforderung oder Aufgabe das ausgewählte Feld ändert, wird eine Benachrichtigung an die Empfänger gesendet Sie können Benachrichtigungen so konfigurieren, dass sie an bestimmte Empfänger gesendet werden, wenn sich ausgewählte Felder in Security Incidents und Antwortaufgaben ändern.
      1. Wählen Sie unter Tabelledie Option Anforderung (Security Incident ) oder Aufgabe (Antwortaufgabe)aus.
      2. Wählen Sie unter Feld das Feld zum Generieren von Benachrichtigungen aus. Wenn eine Änderung am ausgewählten Feld vorgenommen wird, wird eine Benachrichtigung an die identifizierten Empfänger gesendet.
      3. Wählen Sie unter Empfängereinen oder mehrere Empfänger aus.
      4. Wenn ein bestimmter Benutzer oder eine bestimmte Gruppe ausgewählt ist, werden Sie aufgefordert, einen Benutzer oder eine Gruppe auszuwählen.
      5. Um weitere Benachrichtigungen mit anderen Feldern oder Empfängern zu definieren, wiederholen Sie die vorherigen Schritte für den nächsten Satz von Benachrichtigungseinstellungen.
      6. Um eine Benachrichtigung zu entfernen, klicken Sie auf das Symbol zum Löschen einer Benachrichtigung rechts neben der Benachrichtigung.
    3. Klicken Sie auf die Registerkarte Zuweisung, und füllen Sie die Felder aus.
      Tabelle : 2. Konfigurationsbildschirm – Registerkarte „Zuweisung“.
      Feld Beschreibung
      Zuweisungsmethode für Anforderungen Wählen Sie die Methode für die Zuweisung von Security Incidents aus:
      • automatische Zuweisung verwenden: Security Incidents werden automatisch zugewiesen.
      • Verwenden eines Workflows: Security Incidents werden durch den ausgewählten Workflow zugewiesen.
      • Manuell: Security Incidents werden manuell zugewiesen.
      Diesen Workflow zur Zuweisung von Anforderungen verwenden Wählen Sie den Workflow für die Weiterleitung von Security Incidents aus. Dieses Feld wird angezeigt, wenn in der Liste Zuweisungsmethode für Anforderungen die Option Workflow verwenden ausgewählt wird.
      Zuweisungsmethode für Aufgaben Wählen Sie die Methode für die Zuweisung von Antwortaufgaben aus:
      • automatische Zuweisung verwenden: Antwortaufgaben werden automatisch zugewiesen.
      • Verwenden eines Workflows: Antwortaufgaben werden durch den ausgewählten Workflow zugewiesen.
      • manuell: Antwortaufgaben werden manuell zugewiesen.
      Verwenden Sie diesen Workflow, um Aufgaben zuzuweisen Wählen Sie den Workflow für die Zuweisung von Antwortaufgaben aus. Dieses Feld wird angezeigt, wenn in der Liste Zuweisungsmethode für Aufgaben die Option Workflow verwenden ausgewählt wird.
      Anforderungen oder Aufgaben basierend auf Abdeckungsgebieten von Zuweisungsgruppen zuweisen Aktivieren Sie diese Option, um die Zuweisung von Security Incidents und Reaktionsaufgaben auf Gruppen zu beschränken, die den Standort der Aufgabe abdecken.
      Zeitplanung
      Bei der automatischen Auswahl von Service Desk-Mitarbeitern wird die Zeitzone für Aufgaben berücksichtigt Aktivieren Sie diese Option, um die Zeitzone des Mitarbeiters zu berücksichtigen, wenn Sie eine Aufgabe zuweisen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Reaktionsaufgaben ausgewählt ist.
      Zusätzliche Faktoren
      Bei der automatischen Auswahl von Service Desk-Mitarbeitern wird deren Standort berücksichtigt Aktivieren Sie diese Option, um bei der Zuweisung von Aufgaben Mitarbeitern den Vorzug zu geben, die sich näher am Aufgabenstandort befinden. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Reaktionsaufgaben ausgewählt ist.
      Bei der automatischen Auswahl von Mitarbeitern für Aufgaben werden bestimmte Kompetenzen vorausgesetzt. Wählen Sie aus, inwieweit die Fähigkeiten von Service Desk-Mitarbeitern mit einer Aufgabe abgeglichen werden müssen, wenn die automatische Zuweisung bestimmt wird.
      • Wählen Sie alle aus, um festzulegen, dass ein zugewiesener Service Desk-Mitarbeiter über alle Kompetenzen verfügen muss, um die Aufgabe auszuführen. Ein Service Desk-Mitarbeiter, dem auch nur eine Kompetenz fehlt, wird eliminiert.
      • Wählen Sie einige aus, wenn Sie Service Desk-Mitarbeiter benötigen, die über die meisten der für die Ausführung der Aufgabe erforderlichen Kompetenzen verfügen.
      • Wählen Sie Keine aus, wenn Sie Agenten automatisch zuweisen möchten, ohne Kompetenzen zu berücksichtigen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Reaktionsaufgaben ausgewählt ist.
      Bei automatischer Auswahl wird versucht, allen Aufgaben in einer Anforderung denselben Service Desk-Mitarbeiter zuzuweisen Aktivieren Sie diese Option, um alle Antwortaufgaben für einen Security Incident automatisch demselben Service Desk-Mitarbeiter zuzuweisen.
    4. Klicken Sie auf die Registerkarte Add-ons, und füllen Sie die Felder aus.
      Tabelle : 3. Konfigurationsbildschirm – Registerkarte „Add-ons“.
      Feld Beschreibung
      Dokumentation
      Eigene Knowledge Base aktivieren Aktivieren Sie diese Option, um die Knowledge Base für Security Incident Responsezu aktivieren.
      Verwaltete Dokumente aktivieren Aktivieren Sie diese Option, um eine zugehörige Liste zu den verwalteten Dokumenten hinzuzufügen.
      Aufgabenaktivitäten aktivieren Aktivieren Sie diese Option, um Aufgabeninteraktionen und Kommunikationen wie Telefonanrufe und E-Mail-Nachrichten zu protokollieren.
    5. Klicken Sie auf Speichern.

    Sperren Sie die Sicherheitsverwaltung

    Um Untersuchungen zu schützen und Security Incidents vertraulich zu behandeln, können Sie den Zugriff Security Incident Response auf sicherheitsspezifische Rollen und ACLs beschränken. Nicht-Sicherheitsadministratoren können vom Zugriff ausgeschlossen werden, es sei denn, Sie gewähren ihnen ausdrücklich Zutritt.

    Vorbereitungen

    Wenn die Anwendung Security Incident Response aktiviert ist, wird dem Systemadministratorbenutzer standardmäßig die Rolle sn_si.admin gewährt. Der Systemadministrator ist der einzige Administrator, der Sicherheitsgruppen und Benutzer einrichten kann.

    Eine Sicherheitsrolle ist erforderlich, um Zugriff auf die Funktionen und Datensätze von Security Incident Response zu haben.

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Nachdem das Plugin Security Incident Response aktiviert wurde, weist ein Benutzer mit der Administratorrolle mindestens einem Benutzer die Rolle des bereichsbezogenen Administrators (sn_si.admin) zu.
    2. Der Benutzer mit der Administratorrolle wechselt in den Bereich Security Incident.
    3. Navigieren zu Systemanwendungen > Anwendungen.
    4. Klicken Sie auf Downloads.
    5. Geben Sie Sicherheit in das Feld Anwendungen durchsuchen ein.
      Systemanwendungen
    6. Klicken Sie auf Security Incident.
    7. Scrollen Sie nach unten zu Zugehörige Links, und klicken Sie auf Entfernen aus der Rolle des Administrators.
    8. Melden Sie sich ab und wieder an.
      Der Administratorbenutzer kann nicht auf die Anwendung Security Incident Response zugreifen.

    Verwalten Sie den eingeschränkten Aufruferzugriff

    Mit der RCA-Funktion (Restricted Caller Access) kann ein Administrator den bereichsübergreifenden Zugriff auf eine Anwendung oder Anwendungsressource definieren und Zugriffsanforderungen zulassen oder verweigern. Diese Funktion ist in Security Incident Response standardmäßig aktiviert, damit Sicherheitsanalysten vertrauliche sicherheitsbezogene Informationen schützen können.

    Ein Feld mit der Bezeichnung Aufruferzugriff wurde allen Tabellen und Skripteinbindungen in Security Incident Responsehinzugefügt, und das Feld ist standardmäßig auf Anruferverfolgung festgelegt. Diese Einstellung bedeutet, dass Anwendungsbereiche Zugriff auf Security Incident Response Tabellen und Skripteinbindungen haben. Es wird jedoch für jeden Datensatz ein Nachverfolgungsdatensatz erstellt und in der Tabelle „Eingeschränkte Aufruferzugriffsberechtigung“ [sys_restricted_caller_access] gespeichert.
    Hinweis:
    Seien Sie vorsichtig, wenn Sie Datensätze von „Anruferverfolgung“ zu „ Anrufer eingeschränkt“ändern. Auf Datensätze mit diesem Status kann erst zugegriffen werden, wenn ein Administrator den Zugriff manuell erlaubt. Der Administrator muss zu navigieren Systemanwendungen > Anwendung – Eingeschränkter Aufruferzugriff, suchen Sie die Tabelle oder Skripteinbindung, für die Zugriff angefordert wurde, und ändern Sie das Feld Status von Angefordert in Zulässig.

    Schnellstarttests für Security Incident Response ausführen

    Überprüfen Sie, ob Security Incident Response weiterhin funktioniert, nachdem Sie Konfigurationsänderungen vorgenommen haben, z. B. Anwendung eines Upgrades oder Entwicklung einer Anwendung. Kopieren Sie diese Schnellstarttests und passen Sie sie an, um sie bei der Verwendung Ihrer instanzspezifischen Daten zu übergeben.

    Security Incident Response-Schnellstarttests erfordern die Aktivierung des Plugins „Security Incident Response“ (com.snc.security_incident) und das Laden der Demodaten.

    Tabelle : 4. Security Incident Response-Tests
    Test Beschreibung Release-Version
    SIR: Sicherheitsincident erstellen Ermittelt, ob ein Benutzer einen Sicherheitsincident erfolgreich aus dem Sicherheitsincident-Formular erstellen kann. Washington DC
    SIR: Sicherheitsincident über den Sicherheitsincident-Katalog erstellen Ermittelt, ob ein Benutzer einen Sicherheitsincident erfolgreich aus dem Katalog erstellen kann. Washington DC
    SIR: Lebenszyklus des Sicherheitsincident Validiert die Antwortaufgaben des Richtlinienverletzungs-Workflows. Washington DC
    SIR: Bedrohungssuche Validiert die Funktion der Bedrohungssuche. Washington DC
    SIR: PIR Assessments OOTB configuration (SIR: PIR-Bewertungen – OOTB-Konfiguration) Mit diesem Test können Sie PIR-Bewertungen und Basissystemkonfigurationen validieren. Washington DC
    SIR: PIR Assessments conditional configuration (SIR: PIR-Bewertungen – Bedingte Konfiguration)

    Verifiziert, dass Security Incidents, die der obligatorischen bedingten Regel entsprechen, erst geschlossen werden, wenn die Bewertung nach dem Incident abgeschlossen ist.

    Verifiziert, dass Security Incidents, die der optionalen bedingten Regel entsprechen, geschlossen werden können, wenn die Bewertung nach dem Incident abgeschlossen ist.

    Verifiziert, dass für Security Incidents, die keiner Regel entsprechen, keine Bewertungen generiert werden.

    		 Washington DC
    SIR: PIR-Laufzeitverifizierung Überprüft, ob PIR-Berichte gemäß dem neuen Design konfiguriert und an Sicherheits-Incidents angehängt werden. Washington DC
    SIR: Setupverifizierung der PIR-Designzeit Überprüft, ob der Sicherheit-Incident je nach Administratorkonfiguration der Berichtsvorlage zugeordnet wird. Washington DC
    SIR: Security Incident mit einem vorhandenen schwerwiegenden Security Incident verknüpfen Verknüpfen Sie einen Security Incident mit einem vorhandenen schwerwiegenden Security Incident, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Washington DC
    SIR: Security Incident als schwerwiegenden Security Incident hochstufen Stufen Sie einen Security Incident zu einem schwerwiegenden Security Incident hoch, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Washington DC
    SIR: Security Incident als schwerwiegenden Security Incident vorschlagen Schlagen Sie einen Security Incident als einen schwerwiegenden Security Incident vor, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Washington DC
    Verifiziert, dass nur zulässige Mitglieder auf den Security Incident zugreifen können, sobald „Beschränkung erzwingen“ aktiviert ist Verifiziert, dass nur die zulässigen Mitglieder auf den Security Incident zugreifen können, sobald „Beschränkung erzwingen“ aktiviert ist. Washington DC
    Verifiziert, dass nur zulässige Gruppen auf den Security Incident zugreifen können, sobald „Beschränkung erzwingen“ aktiviert ist Verifiziert, dass nur die zulässigen Gruppen auf den Security Incident zugreifen können, sobald „Beschränkung erzwingen“ aktiviert ist. Washington DC
    Lesezugriff validieren Validieren Sie den Anzeigezugriff. Washington DC
    Schreibzugriff validieren Validieren Sie den Bearbeitungszugriff. Washington DC