Referenz des Setup-Assistenten

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 25 Minuten Lesedauer

    • Der Setup-Assistent führt Sie durch die Schritte, die Sie zum Einrichten des Security Incident Response Basissystems ausführen müssen. Dieser Abschnitt enthält zusätzliche Informationen zu den komplizierten Schritten, für die Sie möglicherweise weitere Erklärungen benötigen.

    Erstellen Sie eine Security Incident Response -Prozessdefinition

    Sie können eine Prozessdefinition erstellen, um zu definieren, wie Security Incidents von einem Status in den nächsten übergehen. Prozessdefinitionen helfen Service Desks und Endanwendern, das Problem während des gesamten Lebenszyklus nachzuverfolgen.

    Vorbereitungen

    Erforderliche Rolle: sn.si_admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Prozessdefinitionan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 1. Prozessdefinitionen werden erstellt
      Feld Beschreibung
      Name Name des Datensatzes, der den in der Skripteinbindungsdatei codierten Prozess beschreibt. Der Name wird als Auswahl in der Liste Prozessdefinitionsauswahl angezeigt.
      Skripteinbindung Der Name (einschließlich des Präfix sn_si. ) der Skripteinbindung, die die Definition des Prozesses enthält. Das Skript muss sich im Anwendungsbereich „Security Incident“ (sn_si) befinden. Weitere Informationen finden Sie unter Erstellen Sie eine anwenderdefinierte Security Incident Response Prozessdefinitions-Skripteinbindung. Wenn dieses Feld keinen gültigen Skripteinbindungsnamen enthält, wird die Standarddefinition ProcessDefinition_NIST_Stateful verwendet.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Bestellung Bestimmt die Position in der Liste der Prozessdefinitionen.
      Aktiv Wenn diese Option aktiviert ist, kann diese Prozessdefinition auf der Seite „Auswahl für Prozessdefinition “ ausgewählt werden.
    4. Klicken Sie auf Absenden.

    Informationen zum Prozessdefinition von Security Incident Response

    Security Incident Response Prozessdefinition ersetzt Status-Flows und stellt Endanwendern und Service Desks den Status eines Problems bereit. Eine Prozessdefinition hilft, das Problem während seines Lebenszyklus nachzuverfolgen. Security Incident Response ist eine Servicemanagement-Anwendung (Service Management, SM) mit eigenen Status. Ungültige Status werden als Teil von Prozessauswahlgemeldet.

    Prozessdefinition für Security Incident Response

    Die Standardprozessdefinition (NIST Stateful) definiert die folgenden Incident-Status:
    Hinweis:
    Die verfügbaren Status variieren je nach aktuellem Status des incident.
    Tabelle : 2. Status der Prozessdefinition für Security Incidents
    Status Beschreibung
    Entwurf Der Initiator der Anforderung fügt Informationen zum Security Incident hinzu, er ist jedoch noch nicht zur Bearbeitung bereit.
    Analyse Der Incident wurde zugewiesen, und das Problem wird analysiert.
    Eindämmen Das Problem wurde identifiziert, und das Sicherheitspersonal arbeitet daran, es einzudämmen und Schadenskontrolle durchzuführen. Diese Aktionen können das Offline-Schalten von Servern, das Trennen von Geräten vom Internet und das Überprüfen des Vorhandenseins von Sicherungen umfassen.
    Beseitigen Das Problem wurde eingedämmt, und das Sicherheitspersonal unternimmt Schritte, um das Problem zu beheben.
    Wiederherstellen Das Problem ist behoben, und die Betriebsbereitschaft der betroffenen Systeme wird überprüft.
    Prüfen Der Security Incident ist abgeschlossen, und alle Systeme funktionieren wieder normal, es ist jedoch noch eine Überprüfung nach dem Incident erforderlich.
    Geschlossen Der Incident ist abgeschlossen, aber bevor ein Security Incident geschlossen werden kann, müssen Sie die Informationen auf der Registerkarte Abschlussinformationen ausfüllen.

    Prozessdefinitionen für Security Incident-Aufgaben

    Die folgenden Prozessdefinitionen werden für Security Incident-Aufgaben verwendet.

    Tabelle : 3. Status der Aufgabenprozessdefinition
    Status Beschreibung
    Bereit Die Aufgabe ist zur Bearbeitung bereit, nachdem sie einem Service Desk-Mitarbeiter zugewiesen wurde.
    Zugewiesen Die Aufgabe ist einem Service Desk-Mitarbeiter zugewiesen.
    In Bearbeitung Der zugewiesene Service Desk-Mitarbeiter arbeitet an der Aufgabe.
    Abgeschlossen Die Aufgabe ist abgeschlossen.
    Abgebrochen Die Aufgabe wurde abgebrochen.

    NIST unterstützt die folgenden beiden Modelle:

    • NIST Stateful

      Mit dieser Prozessdefinition können Analysten in einer sequenziellen Reihenfolge von einem Status in einen anderen wechseln, ohne einen Schritt zu überspringen. Wenn der Analyst beispielsweise mit dem Status Entwurf beginnt, lautet die sequenzielle Reihenfolge dieser Prozessdefinition Entwurf>Analyse>Eindämmen>Löschen>Wiederherstellen. Daher ist die Definition des NIST Stateful-Prozesses unidirektional und ermöglicht es Analysten, nur zu den Vorwärtsstatus zu gelangen.

      Hier sehen Sie ein weiteres Beispiel: Wenn der Analyst mit dem Status Analyse beginnt, lautet die sequenzielle Reihenfolge dieser Prozessdefinition Analyse>Eindämmen>Beseitigen>Wiederherstellen.

    • NIST Open

      Mit dieser Prozessdefinition können Analysten von einem Status in einen anderen wechseln, entweder vorwärts oder rückwärts. Wenn der Analyst beispielsweise mit dem Status Analyse beginnt, kann die Reihenfolge der Prozessdefinition entweder Analyse>Eindämmen>Beseitigen>Wiederherstellen oder Analyse>Entwurflauten. Die Prozessdefinition von NIST Open ist also bidirektional und ermöglicht es Analysten, je nach Anforderungen in den Status „Vorwärts“ oder „Rückwärts“ zu wechseln.

    Prozessauswahl für Security Incident Response

    Security Incident Response Die Prozessauswahl listet Prozesse mit ungültigen Status für Security Incidents und Antwortaufgaben auf.

    Ein Administrator kann den Incident oder die Aufgabe entweder manuell oder mithilfe eines Skripts auf gültige Status zurücksetzen. Eine leere zugehörige Liste (keine Incidents, keine Aufgaben) gibt an, dass jede aktive Aufgabe einen gültigen Status aufweist. Die verfügbaren Status variieren je nach aktuellem Status des incident. Weitere Informationen finden Sie unter Korrektur ungültiger Status von Security Incidents oder Aufgaben mit Prozessdefinitionen.

    Wählen Sie eine Security Incident Response -Prozessdefinition aus

    Sie können die Prozessdefinition auswählen, die für die entsprechenden Status der Security Incidents und Reaktionsaufgaben Ihres Unternehmens verwendet werden soll.

    Vorbereitungen
    Erforderliche Rolle: admin und sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Prozedur
    1. Navigieren zu Alle > Security Incident Response > Administration > Prozessauswahlan.
    2. Klicken Sie auf das Suchsymbol, um die verfügbaren Prozessdefinitionen aufzulisten.
      Prozessdefinitionsauswahl
    3. Wählen Sie eine Prozessdefinition aus.
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine anwenderdefinierte Security Incident Response Prozessdefinitions-Skripteinbindung

    Erstellen Sie ein anwenderdefiniertes Prozessdefinitionsskript für die entsprechenden Status für Security Incidents und Antwortaufgaben Ihres Unternehmens.

    Vorbereitungen
    Erforderliche Rolle: sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Die Hauptskripteinbindung sn_si.ProcessDefinition steuert Prozessdefinitionen. Die Prozessdefinition bestimmt, welche Definition verwendet wird (mithilfe der Prozessauswahl). Sie ruft die entsprechende Skripteinbindungsdatei auf, um die Anfangsstatus und Übergänge für Security Incidents und Antwortaufgaben zu bestimmen.
    Prozedur
    1. Navigieren zu Alle > Systemdefinition > Skripteinbindungenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 4. Prozessdefinitionen werden erstellt
      Feld Beschreibung
      Name Name dieser Skripteinbindung.
      API-Name Wird basierend auf dem Namen der Skripteinbindung erstellt.
      Vom Client aufrufbar Stellt die Skripteinbindung für Client-Skripts, Listen- und Berichtsfilter, Referenzqualifizierer oder,, falls angegeben, als Teil der URL bereit.
      Anwendung Security Incident
      Zugänglich von Wählen Sie Nur dieser Anwendungsbereich aus .
      Aktiv Wenn diese Option aktiviert ist, kann diese Skripteinbindung auf der Seite „ Prozessdefinition “ ausgewählt werden.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Skript Definiert das serverseitige Skript, das bei Aufruf von anderen Skripts ausgeführt werden soll.

      Das Skript muss eine einzelne JavaScript-Klasse oder eine globale Funktion definieren. Der Klassen- oder Funktionsname muss mit dem Wert im Feld Name übereinstimmen.

      Informationen zu Skriptinhalten finden Sie unter Skripteinbindung für Prozessdefinition.
      Formular „Skripteinbindung für Prozessdefinition“.
    4. Klicken Sie auf Absenden.
    Skripteinbindung für Prozessdefinition

    Die Skripteinbindung für die Prozessdefinition stellt Methoden zum Definieren einer Prozessdefinition bereit.

    Implementieren Sie die hier beschriebenen Konstanten, Attribute, Arrays und Methodenaufrufe, um eine Skripteinbindung für eine Prozessdefinition anzupassen.

    Verwendungszweck

    Verwenden Sie diese Skripteinbindung, um eine Prozessdefinition zu erstellen.

    Skripteinbindungstext
    Der Textkörper der Skripteinbindung besteht aus drei Abschnitten:
    • Konstanten: Definitionen des Anfangsstatus
    • Security Incident und Antwortaufgabe: Prozessdefinitions-Arrays
    • Methodenaufrufe: Abrufen von Informationen
    Konstanten

    Konstanten werden verwendet, um die Anfangsstatus von Security Incidents und Antwortaufgaben zu definieren.

    Die Verwendung von Konstanten ist optional, wird jedoch aus Gründen der Lesbarkeit empfohlen. Beispiel:
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Welche werden später von den folgenden Methoden verwendet:

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    Der nächste Satz von Konstanten definiert die Status für Security Incidents und Antwortaufgaben.

    Jedes Array enthält auch die Definition, welche Status verfügbar sind, wenn sich der Incident oder die Aufgabe in einem bestimmten Status befindet.

    Beispiel:
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    Das Beispiel ist ein Array von Objekten. Jedes Objekt definiert einen Status und mögliche Übergangsstatus.

    Die Reihenfolge des Statusobjekts bestimmt die gewünschte Reihenfolge für den Flow.

    Wenn sich die Aufgabe im Status „Entwurf“ (Wert 1) befindet, sind folgende Status möglich: 1 (Entwurf, keine Änderung) und 10 (Bereit, nächster Schritt im Prozess).

    Es gibt keine Begrenzung für die Anzahl der Übergänge aus einem Status. Die Status „Abschließen“ und „Abgebrochen“ sind Endstatus und weisen daher keine möglichen Statusübergänge auf.

    Die Reihenfolge der Attribute im Objekt ist nicht wichtig. Wenn dies die Definition klarer macht, setzen Sie die Bezeichnung zuerst.

    Attribute
    Erforderliche Attribute in einem Statusdefinitionsobjekt:
    • state: Numerischer Wert des Status
    • label: visuell lesbarer Text, der dem Status zugeordnet ist
    • Auswahl: Ein Array von Statuswerten, in die der Status übergehen kann (bestimmt den Inhalt der Status-Dropdownliste)
    Optionale Attribute:
    • obligatorisch: Liste der Feld-IDs, die in diesem Status obligatorisch werden
    • schreibgeschützt: Liste der Feld-IDs, die in diesem Status schreibgeschützt werden
    • sichtbar: Liste der Feld-IDs, die in diesem Status sichtbar werden
    • nicht obligatorisch: Liste der Feld-IDs, die in diesem Status nicht obligatorisch werden
    • notvisible: Liste der Feld-IDs, die in diesem Status nicht mehr sichtbar sind
    Hinweis:

    Wenn optionale Attribute verwendet werden, liegt es in der Verantwortung des Autors, sicherzustellen, dass Felder zwischen den Status entsprechend sichtbar/unsichtbar, obligatorisch/nicht obligatorisch, sichtbar/ausgeblendet oder schreibgeschützt sind.

    Wenn Sie beispielsweise ein Feld in einem Status ausblenden, wird es später in einem anderen Status sichtbar, es sei denn, das Attribut „sichtbar“ wird verwendet.

    Arrays für Prozess-Flow-Definitionen

    Um die im Formatierer für Prozess-Flows angezeigten Informationen (der Balken oben auf den Formularen für Security Incident- und Response-Aufgaben) zu definieren, benötigt das System Informationen darüber, was für den jeweiligen Status angezeigt werden soll.

    Beispiel:
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Das Array TASK_PF ist eine Sammlung von Bezeichnungen, Bedingungen und Beschreibungen, die verwendet werden, um den Text zu bestimmen, der in der Prozessformatierer-Leiste angezeigt wird (einschließlich Reihenfolge und Aktivität).

    Im Beispiel wird der Text „Bereit“ als zweites Element angezeigt. Sie wird hervorgehoben, wenn die Aufgabe die Bedingung „state=10^EQ“ erfüllt.

    Wenn der Mauszeiger über den Text bewegt wird, wird die Beschreibung „Security Incident Response-Aufgabe ist bereit für die Zuweisung“ angezeigt.

    Hinweis:

    Status können zu einem einzelnen Formatiererstatus kombiniert werden.

    Im Beispiel werden die Status „Abschließen – vollständig“ und „Abgebrochen“ in der oberen Leiste als „Geschlossen“ angezeigt.

    Methodenaufrufe
    Die folgenden Methoden müssen in der Skripteinbindung vorhanden sein, da sie von sn_si.ProcessDefinition verwendet werden:
    Rückgabetyp Methodenübersicht Beschreibung
    Zeichenfolge getInitialIncidentState: Funktion () Gibt den numerischen Wert des anfänglichen Incident-Status zurück
    Zeichenfolge getInitialTaskState: Funktion(): Gibt den numerischen Wert der anfänglichen Aufgabe zurück
    Array von Zeichenfolgen getIncidentStates: Funktion(): gibt das Array des Incident-Status zurück
    Array von Zeichenfolgen getTaskStates: Funktion(): gibt das Array des Aufgabenstatus zurück
    Array von Objekten getIncidentProcessFlows: Funktion(): Geben Sie das Array der Definitionen des Incident-Prozess-Flows zurück
    Array von Objekten getTaskProcessFlows: Funktion(): Geben Sie das Array der Definitionen des Prozess-Flows für die Aufgabe zurück

    Der nächste Satz von Methoden wird immer dann aufgerufen, wenn ein Incident oder eine Aufgabe aktualisiert wird, und ermöglicht Aktionen für bestimmte Change-Übergänge.

    Rückgabetyp Methodenübersicht Beschreibung
    void durchführenIncidentStateChange: Funktion (aktuell, vorher) In den Beispielen wird diese Methode verwendet, um SM-bezogene Werte festzulegen und sicherzustellen, dass ein Incident aus „Entwurf“ fortschreitet, nachdem ihm jemand zugewiesen wurde.
    void durchführenTaskStateChange: Funktion (aktuell, vorherige) Im Beispiel wird diese Methode verwendet, um Zeitstempel zu aktualisieren (bei Zuweisung und Abschluss) und die Aufgabe von „Bereit“ auf „Zugewiesen“ zu ändern, sobald das Feld assigned_to ausgefüllt ist.
    Die gleichen Aktionen, die durch diese beiden Methoden ausgeführt werden, können mit einer Geschäftsregel durchgeführt werden. Durch die Definition in der Skripteinbindung wird der Wechsel der Prozessdefinitionen erleichtert.

    Korrektur ungültiger Status von Security Incidents oder Aufgaben mit Prozessdefinitionen

    Ein Administrator kann den Security Incident oder die Aufgabe manuell oder mithilfe eines Skripts auf gültige Status zurücksetzen. Die verfügbaren Status variieren je nach aktuellem Status des incident.

    Vorbereitungen
    Erforderliche Rolle: admin
    Warum und wann dieser Vorgang ausgeführt wird
    Nachdem Sie die Prozessdefinitionen gewechselt haben, unterstützt die neue Definition möglicherweise einige der alten Status nicht. Um die Status verwaister Incidents oder Aufgaben zu korrigieren, können Sie Ihre Prozessdefinition ändern, Ihre Skripteinbindung bearbeitenoder die einzelnen Incidents und Aufgaben manuell öffnen, um den Status zu aktualisieren. Im Allgemeinen ist das Aktualisieren des Status (das Massenaktualisieren kann) die einfachste Lösung.

    Um Status in einem Massenvorgang zu ändern, gehen Sie wie folgt vor:

    Prozedur
    1. Navigieren zu Alle > Prozessauswahlan.
    2. Markieren Sie das Feld Status für die Incidents oder Aufgaben, die Sie ändern möchten.
    3. Doppelklicken Sieauf das Feld Status im ersten Datensatz, wählen Sie den neuen Status aus, und klicken Sie auf das grüne Häkchen ( Grünes Häkchen), um die Änderung abzuschließen.
      Korrigiertes Definitionsbeispiel
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Security Incident-Gruppe

    Richten Sie eine Security Incident-Gruppe ein, und weisen Sie der Gruppe die entsprechenden Rollen und Anwender zu.

    Vorbereitungen

    Erforderliche Rollen:
    • Mit der Rolle user_admin können Sie Security Incident-Zuweisungsgruppen erstellen.
    • Mit der Rolle sn_si.admin können Sie Zuweisungsgruppen für Security Incidents erstellen und bearbeiten.

    Warum und wann dieser Vorgang ausgeführt wird

    Benutzer in einer Gruppe erben die Rollen der Gruppe, sodass Sie nicht jedem Benutzer einzeln Rollen zuweisen müssen.

    Es empfiehlt sich, in Ihrer Organisation so viele Gruppen wie nötig zu erstellen. Es wird auch empfohlen, eine Gruppe für Administratoren zu erstellen und nur diese Gruppe die Administratorrolle zuzuweisen.

    Prozedur

    1. Navigieren zu Alle > Anwenderadministration > Gruppen oder Security Incident > Einrichtung > Gruppenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Hinweis:

      Weitere Informationen finden Sie unter Benutzergruppen erstellen.

    4. Stellen Sie sicher, dass Sie den Security Incident -Typ für diese Gruppe auswählen.
      1. Wenn das Feld Typ nicht sichtbar ist, konfigurieren Sie das Formular zum Hinzufügen.
      2. Klicken Sie auf das Schlosssymbol neben dem Feld Typ.
      3. Klicken Sie auf das Referenz-Suchsymbol ( Suchsymbol)
      4. Suchen Sie nach dem Typ des Security Incident, und wählen Sie ihn aus.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
    6. Fügen Sie in der zugehörigen Liste „Rollen“ die Rollen hinzu, die jedes Mitglied dieser Gruppe erhält.
      Wenn Sie beispielsweise eine Gruppe für Security Incident Response Teammitglieder erstellen, fügen Sie sn_si.analyst hinzu. Wenn Sie eine Gruppe für Security Incident Response -Administratoren erstellen, fügen Sie sn_si.admin hinzu.
    7. Fügen Sie dieser Gruppe in der zugehörigen Liste Gruppenmitglieder Anwender hinzu.
    8. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Rechnergruppe für Security Incidents

    Security Incident-Rechnergruppen werden verwendet, um Rechner zu gruppieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Einrichtung > Security Incident-Rechnergruppenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name des Rechners für Security Incidents.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Bestellung Reihenfolge, in der der Security Incident-Rechner ausgeführt wird. Ein Rechner mit einem Reihenfolgeneintrag von 100 wird vor einem Rechner mit einem Reihenfolgeneintrag von 200 ausgeführt.
      Beschreibung Eine Beschreibung dieser Rechnergruppe.
      Erstellt von Geben Sie den Namen des Benutzers ein, der erstellt hat
    4. Klicken Sie auf Absenden.

    Erstellen Sie einen Security Incident-Rechner

    Mit Security Incident-Rechnern können Sie den Schweregrad eines Security Incidents basierend auf vordefinierten Formeln berechnen. Sie können nach Bedarf eigene Rechner für Security Incidents definieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Einrichtung > Security Incident-Rechnergruppenan.
    2. Klicken Sie auf den Namen der Gruppe, für die Sie einen Rechner erstellen möchten, oder erstellenSie eine Rechnergruppe .
    3. Klicken Sie auf Neu.
    4. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name des Rechners für Security Incidents.
      Rechnergruppe Name der Gruppe, zu der dieser Rechner gehört.
      Hinweis:
      Das Erstellen oder Ändern der Rechnergruppe wird erst möglich, nachdem Sie einen Namen und eine Tabelleeingegeben haben.
      Tabelle

      Wählen Sie die Tabelle aus, die für diesen Rechner verwendet werden soll.

      Wenn Sie Rechner zu anderen Tabellen als „Schwachstelle“ [sn_vul_vulnerability] und „Angreifbares Element“ [sn_vul_vulnerable_item] hinzufügen, müssen Sie diesen Tabellen Business-Regeln und UI-Aktionen hinzufügen. So zeigen Sie Beispiele an:
      • Navigieren zu Systemdefinition > Business-Regeln, und suchen Sie die Geschäftsregel Schweregrad berechnen in der Tabelle „Angreifbares Element“ [sn_vul_vulnerable_item].
      • Navigieren zu System-UI > UI-Aktionen, und suchen Sie in der Tabelle „Angreifbares Element“ [sn_vul_vulnerable_item] nach der UI-Aktion Schweregrad berechnen.

      Außerdem müssen der Schwachstellen-Administratorrolle für jede Tabelle, die von einem Rechner verwendet wird, vollständige Lese-, Schreib- (oder save_as_template) Funktionen gewährt werden, damit die auf die Vorlage anzuwendenden Werte ordnungsgemäß angezeigt werden.
      Anwendung Die bereichsbezogene Anwendung, zu der der Rechner gehört.
      Bestellung Reihenfolge, in der der Security Incident-Rechner ausgeführt wird. Ein Rechner mit einem Reihenfolgeneintrag von 100 wird vor einem Rechner mit einem Reihenfolgeneintrag von 200 ausgeführt.
      Aktiv Rechner ein- oder ausschalten.
      Beschreibung Eine Beschreibung dieses Rechners.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Die Registerkarten Bedingungen und Anzuwendende Werte werden angezeigt.
    6. Füllen Sie die Felder auf der Registerkarte Bedingungen entsprechend aus.
      Feld Beschreibung
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine vordefinierte Filtergruppe zu verwenden oder eine neue Filtergruppe zu erstellen, um die Rechnerkriterien zu definieren.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Rechners verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn Sie das Kontrollkästchen Filtergruppen verwenden aktiviert haben.
      Erweiterte Bedingung verwenden Aktivieren Sie dieses Kontrollkästchen, um anzugeben, dass eine Skriptbedingung verwendet wird, um zu bestimmen, wann dieser Rechner angewendet wird. Wenn Sie das Kontrollkästchen aktivieren, wird das Skriptfeld Erweiterte Bedingung angezeigt.

      Wenn Sie das Kontrollkästchen Filtergruppe verwenden aktiviert haben, wird dieses Feld ausgeblendet.

      Hinweis:
      Bevor Sie erweiterte Bedingungen definieren und Skripts schreiben, um zu bestimmen, wann die Rechner für Security Incidents angewendet werden, kehren Sie zur Liste der Rechner für Security Incidents zurück. Erkunden Sie die im Lieferumfang des Basissystems enthaltenen Rechnerdatensätze.
      Bedingung Definiert grundlegende Filterbedingungen, um zu bestimmen, ob der Rechner verwendet wird.

      Wenn Sie eines der Kontrollkästchen Filtergruppeverwenden oder Erweiterte Bedingungen verwenden aktiviert haben, wird dieses Feld ausgeblendet.
    7. Klicken Sie auf die Registerkarte Anzuwendende Werte, und füllen Sie die Felder im Formular entsprechend aus.
      Sie können ein Skript zum Definieren der Werte erstellen, die auf die Berechnung angewendet werden sollen, oder eine Vorlage basierend auf Feldern in der ausgewählten Tabelle definieren.
      Feld Beschreibung
      Skriptwerte verwenden Aktivieren Sie dieses Kontrollkästchen, um Feldwerte mit einem Skript zu definieren.
      Skriptwerte Definiert, auf welche Werte die Berechnungen angewendet werden sollen.

      Dieses Feld wird nur angezeigt, wenn Sie das Kontrollkästchen Skriptwerte verwenden aktiviert haben.
      Vorlage Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern. Wählen Sie die Felder und Werte aus, die Sie für den Rechner verwenden möchten.
    8. Wenn Sie alle Eingaben abgeschlossen haben, klicken Sie auf Absenden.

    Informationen zu Security Incident-Rechnern

    Security Incident-Rechner werden verwendet, um Datensatzwerte zu aktualisieren, wenn vordefinierte Bedingungen erfüllt sind. Die Rechner sind nach den Kriterien gruppiert, mit denen bestimmt wird, wie die Datensätze aktualisiert werden.

    Das Security Incident Response -Basissystem enthält die folgenden Rechnergruppen und Rechner für Security Incidents. In jeder Gruppe wird der erste Rechner ausgeführt, der die Bedingungen erfüllt.

    Tabelle : 5. Security Incident-Rechner im Basissystem
    Rechnergruppenname für Security Incident Rechner in Gruppe enthalten Beschreibung
    Geschäftsauswirkung Aus Schweregradrechnern zusammenfassen Dieser Rechner wird an den Sicherheitsrelevanz-Rechner delegiert, der die Relevanz durch Gewichtung der Werte anderer Felder bestimmt.
    Schweregrad Geschäft betroffen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.
    Wichtiger Service betroffen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn das Configuration Item im Security Incident einem äußerst wichtigen Business-Service zugeordnet ist, werden die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität entsprechend der Definition im Rechner erhöht.
    Kritische Serviceänderungen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn der Security Incident die Bedingungen erfüllt, wird ein Skript ausgeführt, um zu definieren, auf welche Ebenen die Felder erhöht werden. Wenn das Configuration Item im Security Incident mit einem sehr kritischen oder kritischsten Business-Service verknüpft ist, werden die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität entsprechend der Definition im Rechner erhöht.
    Vektoren für Mehrfachangriffe Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Wenn das Konfigurationselement im Security Incident mit Web-, E-Mail- und Identitätswechsel-Angriffsvektoren verknüpft ist, werden die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität entsprechend der Definition im Rechner erhöht.
    Priorität mit Kategorie und Services festlegen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Priorität des Security Incidents wird auf 1 - Kritisch festgelegt, wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, von denen einer kritisch ist.
    • Der Security Incident ist eine der folgenden Kategorien:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie die Preisstufe Starter Security Operation haben.
    Priorität für erkennbare Elemente festlegen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Priorität des Security Incidents wird auf 1 - Kritisch festgelegt, wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, von denen einer kritisch ist.
    • Der Security Incident ist eine der folgenden Kategorien:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    • Eines der zugeordneten erkennbaren Elemente oder Indikatoren hat eine Sichtungsanzahl, die zwei Sichtungen mit aktiven Indikatoren überschreitet (d. h., die erkennbaren Elemente oder Indikatoren werden von mehreren Quellen als schlecht bestätigt).
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie die Preisstufe „Erweiterter Sicherheitsvorgang“ haben und das Plugin „Bedrohungsfeeds“ aktivieren.
    Benutzerrelevanz Benutzerrelevanz abrufen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Dieser Schweregradrechner bewirkt, dass die Geschäftsrelevanz des Benutzers in 1 – Kritisch geändert wird, wenn das Feld Abteilung in Finanzwesengeändert wird.
    Benutzergruppenrelevanz abrufen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.

    Dieser Schweregrad-Rechner ist ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird.

    Schweregrad-Rechner

    Wenn Sie einen Security Incident erstellen, enthalten die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität Standardwerte. Wenn Sie den Incident speichern, validiert eine Geschäftsregel automatisch die Informationen im Security Incident anhand der Bedingungen, die in jedem Ihrer aktiven Schweregradrechner definiert sind. Sie werden jeweils mit einem Sicherheitsrechner in der durch das Feld „ Reihenfolge “ in jedem Rechner definierten Reihenfolge validiert. Wenn Informationen im Security Incident den in einem der Rechner definierten Bedingungen entsprechen, werden die Feldwerte für den Schweregrad entsprechend den im Rechner eingerichteten Regeln aktualisiert.

    Angenommen, Sie erstellen einen Security Incident für ein betroffenes CI, und das CI ist äußerst kritisch. Beim Speichern des Security Incident werden die CI-Informationen mit den in den Schweregradrechnern definierten Bedingungen verglichen. Wenn der Security Incident anhand des Rechners für den Schweregrad des betroffenen Service „Kritisch “ validiert wird, werden die Felder für den Schweregrad automatisch aktualisiert, und es wird oben im Security Incident eine Meldung ähnlich der folgenden angezeigt.

    Nachrichten oben im Security Incident

    Sie können diese Schweregradrechner unverändert verwenden oder sie bearbeiten, um sie den Anforderungen Ihres Unternehmens besser zu entsprechen. Wenn Sie beispielsweise Web- und E-Mail-Bedrohungen identifizieren möchten, die für den Geschäftsbereich Finanzen spezifisch sind, können Sie die Bedingungen des Rechners für Mehrfachangriffsvektoren ändern:
    • [Angriffsvektor] [enthält] [Web]
    • [Angriffsvektor] [enthält] [E-Mail]
    • [Geschäftsbereich] [enthält] [Finanz]

    Sie können die Schweregradwerte in einem vorhandenen Security Incident auch jederzeit aktualisieren, indem Sie den Datensatz öffnen und auf den zugehörigen Link Schweregrad berechnen klicken.

    Rechner für Risikopunktzahl von Security Incidents

    Die Rechner „Priorität mit Kategorie und Servicesfestlegen“ und „Priorität mit erkennbaren Elementen festlegen“ werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen.

    Rechner für Benutzerrelevanz

    Die beiden Rechner in der Benutzerrelevanzgruppe (Anwenderkritikalität abrufen und Anwendergruppenkritikalität abrufen) zeigen, wie Sie die Relevanz anhand von Kriterien steuern können, die in einem Benutzerdatensatz oder anhand der Gruppe, zu der ein Benutzer gehört, definiert sind.

    Sie können nach Bedarf bearbeitet werden, oder es können neue Benutzerrelevanzrechner erstellt werden.

    Mit dem Rechner für Anwenderrelevanz abrufen ändert sich die Geschäftskritikalität des Anwenders in 1 – Kritisch, wenn das Feld Abteilung in Finanzwesengeändert wird.

    Mit dem Rechner für die Kritikalität von Anwendergruppen abrufen ändert sich die Geschäftsrelevanz des Anwenders in 1 - Kritisch, wenn der Anwender zur Gruppe Datenbank hinzugefügt wird.
    Hinweis:
    „Benutzergruppenrelevanz abrufen“ ist ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird. Wenn Sie weitere Gruppen hinzufügen möchten, um eine Kritikalitätsänderung zu initiieren, fügen Sie in der ersten Zeile des Skripts eine durch Kommas getrennte Liste mit Gruppen-sys_ids hinzu. Beispiel: var CRITISCH_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].

    Berechnung der Risikopunktzahl des Security Incidents

    Die Risikopunktzahl wird als arithmetischer Mittelwert berechnet, der das Risiko basierend auf der Priorität eines Security Incidents, dem Typ des Security Incidents (Denial of Service, Spear-Phishing oder böswillige Code-Aktivität) und der Anzahl der Quellen darstellt, die einen fehlgeschlagenen Incident ausgelöst haben Reputationspunktzahl für einen Indikator.

    Die Risikopunktzahl hilft Analysten, die Arbeit mit Security Incidents zu priorisieren.
    Wichtig:
    Wenn Sie den neuen Risikobewertungsrechner verwenden möchten, lesen Sie unter Definieren Sie die neuen Regeln des Risikobewertungsrechnersnach.
    Die Security Incident-Rechner„Priorität mit Kategorie und Servicesfestlegen“ und „Priorität mit erkennbaren Elementen festlegen“ werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen. Darüber hinaus lösen die folgenden Geschäftsregeln die automatische Berechnung von Risikopunktzahlen aus:
    • Schweregrad berechnen
    • Aktualisieren Sie die Risikopunktzahl
    • SI-Risikopunktzahl aktualisieren
    Hinweis:
    Der im Basissystem verfügbare Risikorechner hängt von Ihrer Security Operations-Preisstufe ab.
    Wenn Sie sich eine Liste von Security Incidents im Basissystem ansehen, beachten Sie die Spalte Risikopunktzahl.
    Abbildung : 1. Security Incidents
    Security Incidents und Risikopunktzahlen
    Die Risikopunktzahl wird mit Gewichtungen berechnet, die in der Konfigurationder Risikopunktzahl definiert sind.
    Abbildung : 2. Risikopunktzahlkonfiguration
    Gewichtungen der Risikopunktzahl

    Wenn beispielsweise für einen Security Incident die Geschäftsauswirkung auf 2 Hoch und die Priorität auf 3 – Mittelfestgelegt ist, werden die entsprechenden Gewichtungen in der Tabelle Risikopunktzahlgewichtungen wie folgt gesucht und berechnet:

    Security Incident – Geschäftsauswirkung mit einem Wert von 2 = einer Gewichtung von 60.

    Security Incident-Priorität mit einem Wert von 3 = einer Gewichtung von 40.

    (60 + 40)/2 = Risikopunktzahl 50.

    Die Position des Security Incidents in der Liste der Security Incidents wird dann auf Grundlage der aktualisierten Risikopunktzahl neu geordnet.

    Wenn im obigen Beispiel die Geschäftsauswirkung oder die Priorität des Security Incidents geändert werden, wird die Risikopunktzahl neu berechnet, und die Änderungen werden in den Arbeitsnotizen berücksichtigt.
    Abbildung : 3. Arbeitsnotizen
    Arbeitsnotizen nach Berechnung der Risikopunktzahl
    Die Arbeitsnotizen werden aktualisiert, wenn die folgenden Felder geändert werden (wodurch die Risikopunktzahl aktualisiert wird):
    • Geschäftsauswirkung auf dem Formular „Security Incident“.
    • Priorität im Formular „Security Incident“.
    • Schweregrad im Formular „Security Incident“ (standardmäßig ausgeblendet)
    • Geschäftsauswirkung auf die zugehörige Liste „Betroffene Benutzer “.
    • Geschäftsauswirkung auf die zugehörige Liste „Betroffene Services “.
    • Geschäftsauswirkung auf Schwachstellen in der zugehörigen Liste „Angreifbare Elemente “.
    Darüber hinaus werden die Arbeitsnotizen in den folgenden Situationen aktualisiert:
    • Wenn eine Zuordnung zwischen betroffenen Benutzern und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen betroffenen Services und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen angreifbaren Elementen und einem Security Incident erstellt oder geändert wird

    Arbeitsnotizen werden auch aktualisiert, wenn im Formular „Gewichtungen der Risikopunktzahl“ auf Alle Risikopunktzahlen aktualisieren und Alle Risikopunktzahlen löschengeklickt wird.

    Gewichtungen der Risikopunktzahl verwalten

    Die Gewichtungen der Risikopunktzahl, die zur Berechnung der Risikopunktzahlen in Security Incidents verwendet werden, können einzeln entfernt oder aktualisiert werden. Sie können auch für alle Security Incidents entfernt oder aktualisiert werden. Die Möglichkeit, sie aus Security Incidents zu entfernen, ist beim Ändern der Gewichtungswerte nützlich.

    Vorbereitungen
    Erforderliche Rolle: sn_sec_cmn.admin
    Hinweis:
    Benutzer mit der Rolle sn_si.read können die Konfiguration der Risikopunktzahl in Security Incident Responseanzeigen.
    Prozedur
    1. Navigieren zu Alle > Security Incident > Einrichtung > Konfiguration der Risikopunktzahlan.
      Hinweis:
      Benutzer mit der Rolle sn_si.read können die Konfiguration der Risikopunktzahl anzeigen, indem sie zu navigieren Security Incident > Warnungen und Ereignisse > Risikopunktzahlkonfigurationan.
    2. Um eine neue Gewichtung der Risikopunktzahl hinzuzufügen, klicken Sie auf Neu, und geben Sie Informationen in die Felder ein.
      Feld Beschreibung
      Typ Wählen Sie den Typ der Risikopunktzahl aus, die Sie definieren.
      Wert Geben Sie den Wert an, der dem ausgewählten Typ zugeordnet ist. Wenn für den Typ mehrere Werte verfügbar sind, können Sie mehrere Datensätze für die Gewichtung der Risikopunktzahl definieren. Beispiel: Security Incident-Priorität mit einem Wert von 1, Security Incident-Priorität mit einem Wert von 2 usw.
      Gewichtung Die Gewichtung, die dem ausgewählten Typ-Wert-Paar zugeordnet ist. Gültige Einträge liegen zwischen 0 und 100, wobei 0 für die niedrigste und 100 für die höchste Gewichtung steht.
    3. Klicken Sie auf Absenden.
    4. Führen Sie bei Bedarf einen dieser Schritte aus.
      • Um einen Risikopunktzahl-Gewichtungsdatensatz zu löschen, öffnen Sie ihn in der Liste und klicken Sie auf Löschen.
      • Um alle Risikopunktzahl-Gewichtungsdatensätze zu löschen, klicken Sie auf Alle Risikopunktzahlen löschen.
      • Um alle Risikopunktzahl-Gewichtungsdatensätze zu aktualisieren, klicken Sie auf Alle Risikopunktzahlenaktualisieren.

    Erstellen Sie ein Security Incident Response -SLA

    Sie können eine Servicelevel-Vereinbarung (Service Level Agreement, SLA) für Security Incident Responsedefinieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Einrichtung > SLAsan.
    2. Klicken Sie auf Neu.
      Feldbeschreibungen und detaillierte Anweisungen finden Sie unter Create an SLA definition.

    Security Incident-SLAs reparieren

    Sie können SLA-Datensätze reparieren, um sicherzustellen, dass die Informationen zu SLA-Timing und -Dauer korrekt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.basic

    Prozedur

    1. Wenn er noch nicht geöffnet ist, öffnen Sie den Security Incident, für den Sie SLAs reparieren möchten.
    2. Klicken Sie auf das Kontextmenü des Formular-Headers, und wählen Sie SLAs neu berechnenaus:
      Reparieren Sie SLAs über das Headermenü des Formulars
    3. Klicken Sie im Bestätigungsfeld Warnung auf OK.
      Weitere Informationen finden Sie unter SLAs neu berechnen.

    Erstellt ein Security Incident Response-Runbook

    Ein Runbook ist eine Zuordnung zwischen einem veröffentlichten Wissensartikel und einer bestimmten Aufgabe. Während Sie die Aufgabe ausführen, wird automatisch ein Wissensartikel im Runbook geöffnet, der Informationen enthält, die für die Aufgabe relevant sind.

    Vorbereitungen

    In der Security Incident Response Runbook-Knowledge Base müssen Wissensartikel vorhanden sein. Wenn Sie einen Wissensartikelzu einem Security Incident erstellen, müssen Sie im Feld Knowledge Baseunbedingt Security Incident Response-Runbook auswählen. Nachdem Sie den Artikel veröffentlicht haben, können Sie auf die Schaltfläche Runbook erstellen klicken.

    Erforderliche Rolle: sn.si.knowledge_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Runbooks während der Erstellung von Security Incidents oder Antwortaufgaben verwenden oder die Knowledge Base-Artikel in einem Runbook Aufgaben im Playbook zuordnen.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Manuelles Runbook > Neues Runbook erstellenan.
    2. Füllen Sie die Felder entsprechend aus.
      Feld Beschreibung
      Wissensartikel Wählen Sie einen Wissensartikel aus, der in das Runbook aufgenommen werden soll.
      Aktiv Aktivieren Sie das Kontrollkästchen, um das Runbook im Filternavigatorverfügbar zu machen.
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine vordefinierte Filtergruppe zu verwenden oder eine neue Filtergruppe zu erstellen, um die Runbook-Kriterien zu definieren.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Runbooks verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Filtergruppen verwenden aktiviert ist.
      Tabelle Wählen Sie entweder „Security Incident“ [sn_si_incident] oder Security Incident Response „ Aufgabe [sn_si_task] aus.

      Wenn Sie das Kontrollkästchen Filtergruppe verwenden aktiviert und eine Filtergruppe ausgewählt haben, wird in diesem Feld standardmäßig die Tabelle verwendet, die der ausgewählten Filtergruppe zugeordnet ist.
      Bedingung Legen Sie die Bedingungen fest, die dieses Runbook mit dem Incident oder der Aufgabe verbinden.

      Wenn Sie das Kontrollkästchen Filtergruppe verwenden und eine Filtergruppe ausgewählt haben, werden die Felder Bedingung nicht angezeigt.
    3. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Es werden die Registerkarte Details zu Wissensartikeln und eine Reihe von Schaltflächen angezeigt.
    4. Um die Details des Runbooks anzuzeigen, klicken Sie auf die Registerkarte Knowledge Base-Details.
    5. Um den Wissensartikel so anzuzeigen, wie er dem Benutzer angezeigt wird, klicken Sie auf Artikel anzeigen.
    6. Zu Um die Details des Wissensartikels zu bearbeiten, klicken Sie auf Artikel bearbeiten.

    Erstellen Sie Regeln, um von Anwendern gemeldete Phishing-Angriffe zu validieren

    Wenn Ihre Mitarbeiter E-Mails erhalten, die wie Phishing-Angriffe aussehen, können sie Ihnen diese mit einer Phishing-E-Mail-Adresse melden. Die verdächtige E-Mail wird anhand von von Ihrer Organisation definierten Regeln validiert.

    Vorbereitungen

    Bevor E-Mail-Abgleichregeln zur Identifizierung potenzieller Phishing-Angriffe verwendet werden können, definieren Sie eine E-Mail-Adresse, an die von Ihren Mitarbeitern weitergeleitete E-Mails zur Verarbeitung gesendet werden. Sie haben die folgenden Möglichkeiten, diese E-Mail-Adresse zu definieren (vorausgesetzt, die E-Mail-Domäne Ihres Unternehmens lautet acme.com):
    • Definieren Sie eine E-Mail-Adresse wie acme+phishing@service-now.com. Das Tag +phishing wird von SMTP unterstützt, um die Filterung zu aktivieren, und Ihre -Instanz kann an sie gesendete E-Mails empfangen.
    • Definieren Sie eine E-Mail-Adresse, z. B. phishing@acme.com (Ihr Exchange-Postfach), die sie wiederum an acme+phishing@service-now.com (Ihr Instanzpostfach, das durch eine E-Mail-Weiterleitungsregel definiert wird) weiterleitet.

    Erforderliche Rolle: sn_sec_cmn.write

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn ein Mitarbeiter auf eine verdächtige E-Mail stößt, sollte er diese als Anhang an Ihre Phishing-E-Mail-Adresse weiterleiten. Wenn die angehängte E-Mail mit einer Regel übereinstimmt, die eine Bedrohung definiert, wird ein Security Incident erstellt.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Vom Anwender gemeldetes Phishingan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder nach Bedarf aus.
      Tabelle : 6. Formular „E-Mail-Übereinstimmungsregeln“.
      Feld Beschreibung
      Name Name für diese E-Mail-Übereinstimmungsregel. Beispiel: Vom Anwender gemeldetes Phishing.
      Bedingungen Verwenden Sie den Mit demBedingungsgenerator können Sie überprüfen, ob eine E-Mail, die an die Phishing-E-Mail-Adresse Ihres Unternehmens gesendet wird, einen Phishing-Angriff darstellt. Siehe folgendes Beispiel.
    4. Klicken Sie auf Absenden.

    Beispiel

    Dieses Beispiel zeigt eine Übereinstimmungsregel für die Verarbeitung von von Benutzern gemeldetem Phishing.
    Abbildung : 4. Beispiel für eine E-Mail-Übereinstimmungsregel
    E-Mail-Übereinstimmungsregel