Erstellen Sie einen Security Incident aus der Liste „Security Incident“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Zusätzlich zu den automatischen Methoden zum Erstellen von Security Incidents können Sie sie bei Bedarf auch manuell erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.basic

    Prozedur

    1. Navigieren Sie zu einer beliebigen Security Incident-Liste (z. B. Alle > Security Incident > Incidents > Alle Incidents anzeigen) an.
      Security Incident-Listen
    2. Klicken Sie auf Neu.
      Neuer Security Incident
    3. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Sicherheits-Tag auswählen Wählen Sie bei Bedarf ein Sicherheits-Tag aus, um dem Datensatz Metadaten hinzuzufügen, oder geben Sie an, wer Zugriff auf diesen Security Incident-Datensatz haben soll. Dieses Feld wird nur angezeigt, nachdem der Security Incident gespeichert wurde.
      Nummer [Nur Lesen] Die Security Incident-Nummer.
      Angefordert von Die Person, die die auszuführende Arbeit anfordert.
      Konfigurationselement Der Server, Computer, Router oder ein anderes Konfigurationselement, das vom Sicherheitsproblem betroffen ist.
      Betroffener Anwender Die vom Sicherheitsproblem betroffene Person.
      Standort Der Standort der anfordernden Person oder Ressource. Wenn kein Konfigurationselement ausgewählt ist, wird dieses Feld mit dem Standort der anfordernden Person vorausgefüllt.
      Kategorie Die Kategorie, die den Typ des Sicherheitsproblems identifiziert

      Wenn eine Kategorie ausgewählt ist, wird beim Speichern des Datensatzes ein Workflow zur Analyse dieses Problems ausgeführt. Wenn Sie beispielsweise Denial of Serviceauswählen, wird der Workflow Security Incident – Denial of Service – Vorlage ausgeführt.

      Weitere Informationen finden Sie unter Security Incident Response-Workflow-Vorlagen.
      Unterkategorie Die Unterkategorie, die das Problem weiter definiert.
      Geöffnet [Nur lesen] Zeigt das Datum und die Uhrzeit an, zu der der Incident geöffnet wurde.
      Status Aktueller Status des Security Incident Nach der Erstellung eines Security Incident wird dieses Feld standardmäßig auf Entwurfgesetzt.
      Substatus Gibt an, ob der Security Incident ein ausstehendes Problem oder einen Change enthält.
      Quelle Gibt die Quelle des Security Incident an, z. B. E-Mail, Telefonanruf oder Netzwerküberwachung.
      Warnungssensor Sicherheitsintegration, über die Sie die Warnungs- oder Event-Daten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
      Warnungsregel Die Regel im Sicherheitsprodukt, die die Erstellung dieses Security Incident ausgelöst hat.
      Risikopunktzahl Zeigt die für diesen Security Incident berechnete Risikopunktzahl an. Der Wert basiert auf der Priorität des Security Incident, der Art des Security Incident (Denial of Service, Spear Phishing oder böswillige Codeaktivität) und der Anzahl der Quellen, die eine fehlgeschlagene Reputationspunktzahl für einen Indikator ausgelöst haben. Die Risikopunktzahl hilft bei der Priorisierung von Security Incident-Arbeit für Analysten.

      Mit drei Eigenschaften von Security Incidents können Sie einen farbcodierten Punkt festlegen, der neben der Risikopunktzahl in der Listenansicht angezeigt wird, um sie leichter identifizierbar zu machen.

      Wenn Sie Änderungen an bestimmten Feldern im Security Incident vornehmen, z. B. Geschäftsauswirkung oder Priorität, und den Datensatz speichern, wird die Risikopunktzahl automatisch neu berechnet und angezeigt. Die Änderung wird auch in den Arbeitsnotizen und in der zugehörigen Liste „Risikopunktzahl-Audits“ angezeigt.
      Hinweis:
      Die Risikopunktzahl wird auch neu berechnet, wenn betroffene Benutzer einem Security Incident, betroffenen Services oder angreifbaren Elementen zugeordnet werden.
      Sie können auch manuell eine neue Risikopunktzahleingeben. Dies kann nützlich sein, wenn Sie einen bestimmten Security Incident in der Liste der Security Incidents, die Sie analysieren, ganz oben belassen möchten. Wenn Sie eine neue Risikopunktzahleingeben, wird das Kontrollkästchen Risikopunktzahl überschreiben automatisch aktiviert. Unabhängig von den im Security Incident vorgenommenen Änderungen wird eine manuell eingegebene Risikopunktzahl nicht automatisch neu berechnet.
      Hinweis:
      Wenn Sie Ihre Instanz von einem früheren Release aktualisiert haben, wurden Risikopunktzahlen für alle offenen Security Incidents berechnet. Weitere Informationen finden Sie unter Security Incident-Rechner verstehen.
      Überschreibung der Risikopunktzahl Aktivieren Sie diese Checkbox, um die automatische Aktualisierung der Risikopunktzahl zu überschreiben. Die Überschreibung wird in den Arbeitsnotizen angezeigt.
      Geschäftsauswirkung Wählen Sie die Bedeutung dieses Security Incident für Ihr Unternehmen aus. Der Standardwert ist Nicht kritisch. Wenn Sie nach dem Speichern des Security Incident-Datensatzes den Wert in den Feldern Priorität und/oder Risiko ändern, wird die Geschäftsauswirkung neu berechnet.
      Priorität Wählen Sie basierend auf der Dringlichkeit die Reihenfolge aus, in der dieser Security Incident behandelt werden soll. Wenn dieser Wert nach dem Speichern des Datensatzes geändert wird, kann dies Auswirkungen auf die Berechnung der Geschäftsauswirkung haben.
      Zuweisungsgruppe Die Gruppe, der dieser Security Incident zugewiesen ist.
      Zugewiesen an Die Person, der die Analyse dieses Security Incident zugewiesen ist. Zuweisungen können manuell oder automatisch ausgeführt werden. Weitere Informationen finden Sie unter Zuweisen von Sicherheitsanalysten.
      Kurzbeschreibung

      Eine kurze Beschreibung des Security Incident.
      Wissensergebnisse Während Sie die Kurzbeschreibung eingeben, werden Links zu zugehörigen Artikeln aus der Knowledge Base angezeigt.

      Das Scannen der Informationen könnte Ihr Problem lösen.
    4. Klicken Sie mit der rechten Maustaste auf den Datensatz-Header, und wählen Sie Speichernaus.
      Wenn Sie dem Security Incident ein neues CI hinzugefügt haben, werden die folgenden Integrations-Workflows automatisch ausgeführt:
    5. Um die von diesen Workflows abgerufenen Informationen anzuzeigen, klicken Sie auf den zugehörigen Link Ergänzungsdaten anzeigen und dann auf eine der angegebenen Registerkarten.
      Security Incident-Ergänzung
      Hinweis:
      Zusätzliche Workflows werden basierend auf den von Ihnen aktivierten Drittanbieterintegrationen wie folgt ausgeführt:

      Integration der Tanium-Endpunktplattform: Tanium – Workflow „Laufende Prozesse abrufen“.