Erstellen Sie einen Security Incident aus der Liste Security Incident

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

4 Minuten Lesedauer

Zusätzlich zu den automatischen Methoden zur Erstellung von Security Incidents können Sie sie bei Bedarf auch manuell erstellen.

Dieses Video zeigt eine visuelle Übersicht darüber, wie Sie einen Security Incident aus der Security Incident-Liste erstellen können.

Vorbereitungen

Erforderliche Rolle: sn_si.basic

Prozedur

Navigieren Sie zu einer beliebigen Liste der Security Incidents (z. B. Alle > Security Incident > Incidents > Alle Incidents anzeigen) an.
Klicken Sie auf Neu.

Füllen Sie die Felder des Formulars aus.


Feld	Beschreibung
Sicherheits-Tag auswählen	Wählen Sie bei Bedarf ein Sicherheits-Tag aus, um dem Datensatz Metadaten hinzuzufügen oder anzugeben, wer Zugriff auf diesen Security Incident-Datensatz haben soll. Dieses Feld wird nur angezeigt, nachdem der Security Incident gespeichert wurde.
Nummer	[Schreibgeschützt] Die Nummer des Security Incidents.
Angefordert von	Die Person, die die auszuführende Arbeit anfordert.
Konfigurationselement	Der Server, Computer, Router oder ein anderes Configuration Item, das bzw. der von dem Sicherheitsproblem betroffen ist.
Betroffener Anwender	Die von dem Sicherheitsproblem betroffene Person.
Standort	Standort der anfordernden Person oder Ressource. Wenn kein Configuration Item ausgewählt ist, wird dieses Feld mit dem Standort der anfordernden Person vorab ausgefüllt.
Kategorie	Die Kategorie, die den Typ des Sicherheitsproblems identifiziert Wenn eine Kategorie ausgewählt ist, wird ein Workflow zur Analyse dieses Problems ausgeführt, wenn der Datensatz gespeichert wird. Wenn Sie beispielsweise Denial of Serviceauswählen, wird der Workflow Security Incident – Denial of Service – Vorlage ausgeführt. Weitere Informationen finden Sie unter Workflow-Vorlagen für Security Incident Response.
Unterkategorie	Die Unterkategorie, die das Problem weiter definiert.
Geöffnet	[Schreibgeschützt] Zeigt das Datum und die Uhrzeit an, zu der der Incident geöffnet wurde.
Status	Aktueller Status des Security Incidents. Bei Erstellung eines Security Incident wird dieses Feld standardmäßig auf Entwurfgesetzt.
Substatus	Gibt an, ob der Security Incident ein ausstehendes Problem oder einen Change enthält.
Quelle	Identifiziert die Quelle des Security Incidents, z. B. E-Mail, Telefonanruf oder Netzwerküberwachung.
Warnungssensor	Sicherheitsintegration, über die Sie Warnungs- oder Ereignisdaten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
Warnungsregel	Die Regel im Sicherheitsprodukt, die die Erstellung dieses Security Incidents ausgelöst hat.
Risikopunktzahl	Zeigt die für diesen Security Incident berechnete Risikopunktzahl an. Der Wert basiert auf der Priorität des Security Incidents, der Art des Security Incidents (Denial of Service, Spear-Phishing oder böswillige Code-Aktivität) und der Anzahl der Quellen, die für einen Indikator eine fehlgeschlagene Reputationspunktzahl ausgelöst haben. Die Risikopunktzahl hilft Analysten bei der Priorisierung der Arbeit mit Security Incidents. Drei Eigenschaften von Security Incidents ermöglichen es Ihnen, einen farbcodierten Punkt zu bestimmen, der neben der Risikopunktzahl in der Listenansicht angezeigt wird, um sie leichter erkennbar zu machen. Wenn Sie Änderungen an bestimmten Feldern im Security Incident vornehmen, z. B. Geschäftsauswirkung oder Priorität, und den Datensatz speichern, wird die Risikopunktzahl automatisch neu berechnet und angezeigt. Der Change spiegelt sich auch in den Arbeitsnotizen und in der zugehörigen Liste „Risikopunktzahl-Audits“ wider. Hinweis: Die Risikopunktzahl wird auch neu berechnet, wenn betroffene Benutzer einem Security Incident, betroffenen Services oder angreifbaren Elementen zugeordnet werden. Sie können auch manuell eine neue Risikopunktzahleingeben. Dies kann nützlich sein, wenn Sie möchten, dass ein bestimmter Security Incident in der Liste der zu analysierenden Security Incidents ganz oben bleibt. Wenn Sie eine neue Risikopunktzahleingeben, wird das Kontrollkästchen Risikopunktzahl überschreiben automatisch aktiviert. Unabhängig von den im Security Incident vorgenommenen Änderungen wird eine manuell eingegebene Risikopunktzahl nicht automatisch neu berechnet. Hinweis: Wenn Sie Ihre Instanz von einem früheren Release aktualisiert haben, wurden die Risikopunktzahlen für alle Ihre offenen Security Incidents berechnet. Weitere Informationen finden Sie unter Informationen zu Security Incident-Rechnern.
Risikopunktzahlüberschreibung	Aktivieren Sie dieses Kontrollkästchen, um die automatische Aktualisierung der Risikopunktzahl zu überschreiben. Die Überschreibung wird in den Arbeitsnotizen berücksichtigt.
Geschäftsauswirkung	Wählen Sie die Bedeutung dieses Security Incidents für Ihr Unternehmen aus. Der Standardwert ist „Nicht kritisch“. Wenn Sie, nachdem der Security Incident-Datensatz gespeichert wurde, den Wert in den Feldern Priorität /oder Risiko ändern, wird die Geschäftsauswirkung neu berechnet.
Priorität	Wählen Sie die Reihenfolge aus, in der dieser Security Incident behandelt werden soll, basierend auf der Dringlichkeit. Wenn dieser Wert geändert wird, nachdem der Datensatz gespeichert wurde, kann sich dies auf die Berechnung der Geschäftsauswirkung auswirken.
Zuweisungsgruppe	Die Gruppe, der dieser Security Incident zugewiesen ist.
Zugewiesen an	Die Person, der die Analyse dieses Security Incident zugewiesen ist. Zuweisungen können manuell oder automatisch durchgeführt werden. Weitere Informationen finden Sie unter Sicherheitsanalysten werden zugewiesen.
Kurzbeschreibung	Kurze Beschreibung des Security Incident.
Wissensergebnisse	Während Sie die Kurzbeschreibung eingeben, werden Links zu zugehörigen Artikeln aus der Knowledge Base angezeigt. Das Scannen der Informationen könnte Ihr Problem lösen.

Klicken Sie mit der rechten Maustaste auf den Datensatz-Header, und wählen Sie Speichernaus.
Wenn Sie dem Security Incident ein neues CI hinzugefügt haben, werden die folgenden Integrations-Workflows automatisch ausgeführt:
- Workflow „Security Operations – Laufende Prozesse abrufen“.. Dieser Workflow ruft eine Liste der laufenden Prozesse für ein Configuration Item (CI) von einem Host oder Endpunkt ab.
- Workflow „Security Incident Response - Get Laufende Services“.. Dieser Workflow ruft eine Liste der laufenden Services von Windows-basierten CIs ab.
- Workflow für Security Operations-Integrationen – Netzwerkstatistiken abrufen. Dieser Workflow ruft eine Liste aktiver Netzwerkverbindungen von einem Host oder Endpunkt ab.
Um die von diesen Workflows abgerufenen Informationen anzuzeigen, klicken Sie auf den zugehörigen Link Ergänzungsdaten anzeigen, und klicken Sie dann auf eine der angegebenen Registerkarten.

Hinweis:
Zusätzliche Workflows werden basierend auf den von Ihnen aktivierten Drittparteiintegrationen wie folgt ausgeführt Security Operations Carbon Black-Integration – Workflow „Laufende Prozesse abrufen“.