Workflow-Vorlage für Security Incident Reconnaissance

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Erkennung ist normalerweise ein vorläufiger Schritt zu einem weiteren Angriff, der ein Gerät oder System ausnutzen soll. Mit der Vorlage „Security Incident - Reconnaissance - Security Incident“ können Sie eine Reihe von Aufgaben ausführen, um die Erkennung in Ihrem Netzwerk zu verarbeiten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn die Kategorie in einem Security Incident auf Aufklärungsaktivitätfestgelegt ist. Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Aufklärungsaktivität
    Abgleich-Workflow-Vorlage

    Prozedur

    1. Öffnen Sie den Security Incident für diesen potenziellen Angriff, oder erstellen Sie einen neuen Security Incident.
    2. Wählen Sie unter Kategoriedie Option Aufklärungsaktivität aus.
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie die zugehörige Liste Antwortaufgaben.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Bei jeder Speicherung des Datensatzes bewirkt Ihre Antwort auf die vorherige Aufgabe entweder die Erstellung der nächsten Antwortaufgabe oder die Beendigung des Workflows.
      Tabelle : 1. Antwortaufgaben in der Aufklärungsvorlage
      Antwortaufgabe Aktion Ergebnisse
      Aufklärungsaktivität verifiziert? Stellen Sie fest, ob eine beobachtete Aufklärung verifiziert wurde.

      Wählen Sie in der Aufgabe unter ErgebnisJa oder Neinaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe Betroffene Systeme identifizieren ausgeführt.

      Wenn Sie Neinauswählen, wird der Flow beendet.
      Identifizieren Sie die betroffenen Systeme Bestimmen Sie die Systeme, die von der Erkennung betroffen sind. Wenn diese Aufgabe abgeschlossen ist, wird im Feld „Aufklärung für Strafverfolgungsanalysen zulassen?“ angezeigt. Aufgabe wird ausgeführt.
      Aufklärung für Strafverfolgungsanalysen zulassen? Legen Sie fest, ob die Aufklärung von Strafverfolgungsbehörden analysiert werden soll.

      Wählen Sie in der Aufgabe unter ErgebnisJa oder Neinaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe des Strafverfolgungsprozesses ausgeführt.

      Wenn Sie Neinauswählen, wird die Aufgabe Systeme aktualisieren, um eine Spähen zu verhindern ausgeführt.
      Strafverfolgungsprozess Führen Sie den von Ihrem Unternehmen definierten Strafverfolgungsprozess durch. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „System(e) aktualisieren, um eine Aufklärung zu verhindern“ ausgeführt.
      Aktualisieren Sie die Systeme, um eine Erkennung zu verhindern Führen Sie die erforderlichen Schritte aus, um die von der Erkennung betroffenen Systeme zu aktualisieren. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „Status auf Überprüfung festlegen“ ausgeführt.
      Legen Sie den Status auf „Überprüfung“ fest Keine Aktion erforderlich. Der Status des Security Incident wird automatisch in Überprüfunggeändert, und die Besprechungsaufgabe „Erlernte Lektionen“ wird ausgeführt.
      Meeting mit gelernten Lektionen Führen Sie ein Meeting mit den gelernten Lektionen durch, um die für diesen Erkennungs-Incident durchgeführte Arbeit zu selektieren.

      Aktualisieren Sie entsprechend das Feld Status in der Aufgabe.

      		 Wenn diese Aufgabe abgeschlossen ist, wird der Flow beendet.