Secureworks-Ticketfelder werden Security Incident Response-Feldern zugeordnet

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 8 Minuten Lesedauer

    • Ordnen Sie einzelne Ticket- oder Ereignisfelder Feldern in einem Security Incident Now Platform SIR zu.

    Feldzuordnung für Ticket

    Als Benutzer mit der Rolle sn_si.admin verwenden Sie die Felder aus dem Abschnitt Beispieltickets auf der linken Seite, und ordnen Sie sie den Security Incident-Feldern in der Spalte „ SIR-Incident-Feldzuordnung “ zu. Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Ticket- oder Ereignisfelder aus der linken Seite ziehen und im Abschnitt „SIR-Incident-Feldzuordnung“ auf der rechten Seite ablegen. Die Zuordnung auf der rechten Seite ordnet das eingehende Ticketfeld einem ausgehenden Security Incident-Feld zu.

    1. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf einen blauen Feldnamen auf der linken Seite des Formulars.
    2. Sie können den Feldnamen manuell in die Spalte „Eingabeausdruck“ eingeben oder den Feldnamen per Drag-and-Drop verschieben. Beispiel: Beschreibungund legen Sie es auf einem Feld in der Spalte Eingabeausdruck neben einem Feldnamen in der Spalte Security Incident fest.
      Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird categoryClass dem Feld Kategorie im Security Incident zugeordnet.
      Secureworks CTP: Profil erstellen: Zuordnung
      Hinweis:
      Wenn Sie den Namen des Ereignisfelds manuell im Abschnitt „ Eingabeausdruck “ eingeben, müssen Sie vor dem Namen des zuzuordnenden Felds das Präfix ${Event:eventfield}$ hinzufügen.

      Um sicherzustellen, dass bei der Zuordnung keine Ticket- oder Event-Felder übersehen oder dupliziert werden, sind die Felder farbcodiert. Die Farbcodierung der Ticketfelder hilft Ihnen, die bereits zugeordneten Ticketwerte nachzuverfolgen, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. So können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob noch wichtige Ticketinformationen zugeordnet werden.

      Hellblaue Felder auf der linken Seite zeigen an, dass im Security Incident noch kein Ticketfeld ausgewählt und zugeordnet wurde. Unter Umständen möchten Sie ein Feld für eingehende Tickets oder Ereignisse mit mehr als einem Feld in einem Security Incident verknüpfen. Ein graus Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

    3. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen:
      1. Klicken Sie rechts im Formular im Abschnitt SIR Incident-Feldzuordnung unten im Raster auf das Pluszeichen (+). Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte „Security Incident“ die angezeigte Auswahlliste, und wählen Sie ein Feld aus.
        In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung ist die Kategorie grau hinterlegt, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Ticketfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Security Incident-Felder auf der rechten Seite beim Verfolgen der bereits zugeordneten Incident-Felder SIR.
        Secureworks CTP: Profil erstellen: Zuordnungsauswahl
        Hinweis:
        Da für denselben Security Incident mehrere erkennbare Elemente angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der mehrere Optionen ausgewählt werden können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident ebenfalls nicht ausgefüllt.
      3. Geben Sie alternativ einen Wert in das Feld Suchen für die neue Zeile ein.
      4. Wählen Sie auf der linken Seite des Formulars das Ticketfeld aus, und ziehen Sie es per Drag-and-Drop in ein entsprechendes Feld für Security Incidents auf der rechten Seite.
    4. Entfernen Sie Felder, indem Sie das Symbol – neben dem Feldnamen im Abschnitt „SIR-Incident-Feldzuordnung“ verwenden.
    5. Setzen Sie die Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.

    Formatfeldübersetzung

    In bestimmten Fällen werden Ticketfelder möglicherweise nicht direkt in die Felder im Security Incident SIR übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie ähnliche, aber nicht identische Werte formatieren möchten. Beispielsweise können mit dem Skript-Editor die Kategoriewerte „Malware-Warnung“ und „Virusinfizierung“ unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können mithilfe von in eine gemeinsame böswillige Code-Aktivität im Feld „Kategorie“ des Security Incident SIR übersetzt werden Formatfeldübersetzungsfunktion.

    Um den Skript-Editor zu verwenden, klicken Sie auf das Symbol {} neben dem Feld Kategorie. Der Skript-Editor wird angezeigt
    Secureworks CTP: Profil erstellen: Skript-Editor
    .

    Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um die Änderungen zu speichern und zur Zuordnungsseite zurückzukehren.

    Bedingungen für Incident-Generierung

    Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um festzulegen, welche Tickets Security Incidents erstellen und welche Tickets herausgefiltert werden sollen (z. B. Tickets mit niedriger Priorität). Dieselben Feldwerte können Sie im Builder für Bedingungen für Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Ticket erfüllen muss, um einen Security Incident zu erstellen. Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
    1. Scrollen Sie im Formular zum Abschnitt „ Bedingungen für Incident-Generierung “, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.

      Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

      Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen entsprechen den Feldern, die im Abschnitt „ Beispiel für eine Ticketerfassung “ für die erfassten Tickets angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach den von Ihnen erfassten Tickets. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten des Tickets Secureworks CTP übereinstimmen. Wenn Sie sich bei den Werten, die Sie in die Filterfelder eingeben sollen, nicht sicher sind, kehren Sie möglicherweise zu Ihrer Secureworks CTP -Konsole zurück und überprüfen Ihre Tickets für die Stichwörter.

      Hinweis:
      Die Ticketfelder „Arbeitsprotokolle“, „ Geräte“, „ Anhänge“, „ Beobachter“, „ VerfügbareAktionen“ und „CloseCodes“ können mehrere Werte aufweisen (da die Werte in Arrays gespeichert werden). Da die Filterbedingung nur Zeichenfolgen abrufen kann, müssen Sie für diese Felder die Filterbedingung „ Enthält “ verwenden, um sicherzustellen, dass die Daten ordnungsgemäß gefiltert werden.
    2. Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
    3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf AND oder OR.
      • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
    4. (Optional) Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

      Diese Art der Filterung von Bedingungen für die Incident-Generierung hilft Ihnen, die Tickets einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Regel oder Filter zu ändern. Wenn zusätzliche Filterkriterien festgelegt sind, werden Security Incidents nur Tickets zugeordnet, die allen Kriterien entsprechen.

    Kriterien für die Zusammenfassung von Tickets, um ähnliche Tickets zu verarbeiten und doppelte Incidents zu verhindern

    Definieren Sie zusätzliche Kriterien für die Ticket-Zusammenfassung, die ein eingehendes Ticket zu einem vorhandenen Security Incident SIR zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Ticketdaten in einem einzigen Security Incident platziert werden. Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:
    1. Scrollen Sie im Formular zum Abschnitt „ Ticket -Zusammenfassungskriterien“, und aktivieren Sie das Kontrollkästchen Zusammenfassungsbedingungen, um diese Option zu aktivieren.

      Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die im Security Incident SIR konfiguriert sind.

    2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Ihrer NOW Platform abgleichen möchten, und verschieben Sie sie in die Liste Ausgewählt.

      Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, damit dieses eingehende Ticket an einen vorhandenen Security Incident angehängt wird. Dies umfasst Felder wie erkennbare Elemente und Konfigurationselemente, denen mehrere Ticketfeldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Ticket-Zusammenfassung nicht erfüllt, und es wird ein neuer Security Incident erstellt. Screenshot unten für Feldzuordnung mit mehreren Werten.


      Secureworks CTP: Profil erstellen: Zuordnung: Zusammenfassung

      Wenn ein neues Ticket allen Werten entspricht, die in den Bedingungen des Zusammenfassungsfelds im Zuordnungsschritt ausgewählt sind, wird das neue Ticket automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, die mit Security Incidents arbeiten, können Sie alle hinzugefügten aggregierten Tickets in einer zugehörigen Liste für einen Security Incident anzeigen. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese Tickets zu vorhandenen Security Incidents zusammengefasst werden. Wenn diese Registerkarte in einem Security Incident nicht angezeigt wird, scrollen Sie unter „Zugehörige Links “ im Datensatz zur linken Seite, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.

      Hinweis:
      Die zugehörige Liste „Aggregierte Secureworks-Tickets“ ist mit dem Basissystem nicht verfügbar. Sie müssen das Layout der zugehörigen Liste konfigurieren und explizit in die anderen zugehörigen Listen aufnehmen.
    3. (Optional) Um eine Arbeitsnotiz für ein neues Ticket zu protokollieren, das kürzlich für den Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen zum Aktivieren dieser Option. Die Arbeitsnotiz protokolliert, dass ein neues Ticket hinzugefügt wurde, zusammen mit einem Link zu den Ticketdetails und allen anderen Details, die dem Arbeitsnotizfeld in Ihrem Zuordnungsabschnitt hinzugefügt wurden.

      Sie haben erfolgreich Werte aus einem Ticket Secureworks CTP Feldern in einem Security Incident zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben Tickets auch an vorhandene Security Incidents angehängt, wenn Ticketfeldwerte den konfigurierten Zusammenfassungskriterien entsprechen.

    4. Klicken Sie auf „ Fortsetzen“, um mit der Profilkonfiguration fortzufahren. Der nächste Schritt besteht in der Vorschau der Felder, die Sie im Security Incident SIR zugeordnet haben