Aus Events und Warnungen erstellte Security Incidents

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Wenn Ereignisse aus Warnungsüberwachungstools importiert werden, werden sie zuerst von Ereignismanagement verarbeitet und in Warnungen gruppiert. Diese Warnungen können verwendet werden, um Security Incidents basierend auf anpassbaren Warnungsregeln zu erstellen, oder manuell überprüft werden, um diese Warnungen auszuwählen, die als Security Incident untersucht werden sollen.

    Eine Beispielwarnungsregel mit der Bezeichnung Sicherheits-Incidents aus kritischen Warnungen erstellen finden Sie im Modul WarnungsregelnEreignismanagement der Anwendung []. Diese Warnungsregel erstellt automatisch Security Incidents, wenn kritische sicherheitsbezogene Ereignisse von innerhalb von ServiceNow oder von Überwachungsanwendungen von Drittanbietern empfangen werden. Nachdem der Security Incident erstellt wurde, wird er aktualisiert, wenn neue Ereignisse empfangen werden. Sie können die Aufgabenvorlage in der Warnungsregel ändern, um die Anfangswerte für den von dieser Warnungsregel erstellten Security Incident zu ändern. Um jede Art von Security Incident zu behandeln, die Sie erstellen möchten, können Sie andere Warnungsregeln mit unterschiedlichen Bedingungen definieren.

    Alternativ können Sie als Benutzer mit der Rolle „Sicherheitsadministrator“ einen Security Incident manuell erstellen, indem Sie in einer verdächtigen Warnung auf die Schaltfläche Security Incident erstellen klicken.

    Es ist wichtig, dass die von externen Tools empfangenen Ereignisse die folgenden Informationen enthalten:
    • Der Knoten, der auf den Namen, die IP-Adresse oder die sys_id des CI festgelegt ist, das zur betroffenen Ressource wird.
    • Die Ereignisklassifizierung wird auf „Sicherheit“ festgelegt, um sie von anderen IT-Ereignissen zu unterscheiden.
    • Die Ereignisbeschreibung, mit der die Beschreibung des Security Incident gefüllt wird.
    • Die zusätzlichen Informationen können zusätzliche Informationen enthalten, die nicht in die zuvor aufgeführten Felder oder andere Ereignisfelder passen, z. B. Kategorie, Angriffsvektoren, Rückgabe-URL oder Korrelations-ID. Das Format ist eine Zeichenfolge, die Feldnamen zusammen mit ihren Werten auflistet. Verwendet wird das folgende JSON-Format:
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Hinweis:
    Wenn für jedes Feld-Wert-Paar das Feld im Security Incident, in dem der Spaltenname mit dem Wert „fieldName“ übereinstimmt, leer ist, wird es auf den Wert „fieldValue“ festgelegt. Wenn das Feld im Security Incident nicht leer ist, wird es nicht geändert. In beiden Fällen werden das Ereignis und alle in den zusätzlichen Informationen codierten Felder und Werte in einem Arbeitsnotizeintrag aufgezeichnet, der das Ereignis beschreibt. Wenn sich im Security Incident nichts ändert, wird kein Arbeitsnotizeintrag erstellt. Alle Felder in einem Security Incident, einschließlich anwenderdefinierter Felder, die Sie der Tabelle hinzufügen, können festgelegt werden.