Workflow zum Schließen von Security Incidents

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Schließen Sie den Security Incident, indem Sie den Incident-Status aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Responsean.
    2. Wechseln Sie beispielsweise zu Listen > Security Incidents > Offene Incidentsan.
    3. Öffnen Sie einen Incident, den Sie schließen möchten.
    4. Wechseln Sie zur Registerkarte Details.
    5. Führen Sie einen Drilldown zum Incident-Status durch, und wählen Sie Schließenaus.
    6. Führen Sie die Abschlussaktivitäten durch.

      • Dies ist ein obligatorischer Schritt zur Überprüfung einer Aufgabe, bevor ein Security Incident geschlossen wird. Alle Antwortaufgaben müssen vom Analysten überprüft und geschlossen oder abgebrochen werden, bevor sie als Security Incident geschlossen werden. Wenn der Analyst auf „Aktive Aufgaben überprüfen“ klickt, wird der Benutzer zur Registerkarte „Antwortaufgaben “ weitergeleitet. Es wird eine Sitzungsnachricht mit der Meldung angezeigt, dass Sie gerade einen Security Incident schließen. Klicken Sie auf „ Fortsetzen“.

      • Klicken Sie auf Fortsetzen. Der erste Schritt: Überprüfen Sie, ob die aktiven Aufgaben beim Schließen des Security Incident abgeschlossen sind.
        Abbildung : 1. Abschlussaufgaben werden überprüft
        Popup-Fenster „Security Incident“ schließen: Aktive Aufgaben werden überprüft.
      • Fahren Sie mit dem nächsten Schritt fort, um die aktiven Playbooks für den Analysten zu überprüfen. Dies ist ein optionaler Schritt. Sie können auf den Link klicken, um die aktive Playbook-Aufgabe zu überprüfen und bei Bedarf zu schließen.
        Hinweis:
        Alle aktiven Workflows, Playbook-Aktivitäten und Flows werden beim Schließen des Security Incidents automatisch abgebrochen.
        Abbildung : 2. Überprüfen Sie Playbook-Aufgaben
        Schließen Sie das Popup-Fenster „Security Incident“: Aktive Playbooks werden überprüft.
        Verwenden des manuellen Playbooks für Phishing zur Analyse eines von einem Benutzer gemeldeten Phishing-Incidents
      • Überprüfungsbericht nach Incident: Sie werden jetzt zur Überprüfung der Aktivitäten nach dem Incident verschoben, um mit dem Abschluss fortzufahren. Wenn die Bewertung optional ist, überspringen Sie den Schritt, oder wenn die Bewertung obligatorisch ist, nehmen Sie die Bewertung vor und schließen Sie sie ab.
        Abbildung : 3. Bewertung überprüfen/durchführen
        Schließen Sie das Popup-Fenster „Security Incident“: Bewertung vornehmen.
        Überprüfung nach Incident: Bewertung des incident.
      • Bericht konfigurieren/in Vorschau anzeigen: Dies ist wiederum ein optionaler Schritt. Klicken Sie auf den Link, um den Bericht zu überprüfen und mit dem nächsten Schritt fortzufahren.
        Überprüfung nach Incident: Berichte zum Incident.
      • Lösungsdetails bereitstellen: Der Analyst kann das Kontrollkästchen aktivieren, um Wissensartikel automatisch zu erstellen.
      • Geben Sie den Abschlusscode und die Abschlussnotizen ein, und klicken Sie auf Incident schließen.
        Schließen Sie das Popup-Fenster des Security Incidents: durch Eingabe des Abschlusscodes und von Abschlussnotizen.
      Hinweis:
      Wenn der Analyst das Dialogfeld „ Security Incident schließen “ abbricht, kann er zufällig zur Registerkarte Details navigieren und den Incident-Status in „ Schließen “ ändern, um mit dem Abschluss fortzufahren.