Security Incidents, die aus Ereignissen und Warnungen erstellt wurden

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Wenn Ereignisse aus Warnungs-Überwachungstools importiert werden, werden sie zuerst von verarbeitet EreignismanagementUnd gruppiert in Warnungen. Diese Warnungen können verwendet werden, um Security Incidents basierend auf anpassbaren Warnungsregeln zu erstellen, oder manuell überprüft, um die Warnungen auszuwählen, die als Security Incident untersucht werden sollen.

    Sie finden eine Beispielwarnungsregel namens Erstellen Sie Security Incidents aus kritischen Warnungen In WarnungsregelnModul von EreignismanagementAnwendung. Diese Warnungsregel erstellt automatisch Security Incidents, wenn kritische sicherheitsbezogene Ereignisse von innen empfangen werden ServiceNowOder aus Überwachungsanwendungen von Drittparteien. Nachdem der Security Incident erstellt wurde, wird er aktualisiert, wenn neue Ereignisse empfangen werden. Sie können die Aufgabenvorlage in der Warnungsregel ändern, um die Anfangswerte für den von dieser Warnungsregel erstellten Security Incident zu ändern. Um jede unterschiedliche Vielfalt von Security Incidents zu verarbeiten, die Sie erstellen möchten, können Sie andere Warnungsregeln mit verschiedenen Bedingungen definieren.

    Wenn Sie ein Anwender mit der Rolle „Sicherheitsadministrator“ sind, können Sie alternativ manuell einen Security Incident erstellen, indem Sie auf klicken Erstellen Sie Einen Security Incident Schaltfläche aus einer verdächtigen Warnung.

    Es ist wichtig, dass die von externen Tools empfangenen Ereignisse die folgenden Informationen enthalten:
    • Der Knoten, der auf den Namen, die IP-Adresse oder die sys_ID des CI festgelegt ist, das zur betroffenen Ressource wird.
    • Die Ereignisklassifizierung ist auf „Sicherheit“ festgelegt, um sie von anderen IT-Ereignissen zu unterscheiden.
    • Die Ereignisbeschreibung, die die Beschreibung des Security Incidents ausfüllt.
    • Die zusätzlichen Informationen können zusätzliche Informationen enthalten, die nicht in die zuvor aufgeführten Felder oder andere Ereignisfelder passen, z. B. Kategorie, Angriffsvektoren, Rückgabe-URL oder Korrelations-ID. Das Format ist eine Zeichenfolge, die Feldnamen zusammen mit ihren Werten im folgenden JSON-Format auflistet:
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Hinweis:
    Wenn das Feld im Security Incident, in dem der Spaltenname mit dem fieldName übereinstimmt, für jedes Feld und Wertepaar leer ist, wird es auf „fieldValue“ festgelegt. Wenn das Feld im Security Incident nicht leer ist, wird es nicht geändert. In beiden Fällen werden das Ereignis und alle in den zusätzlichen Informationen codierten Felder und Werte in einem Arbeitsnotizeintrag aufgezeichnet, der das Ereignis beschreibt. Wenn sich im Security Incident nichts ändert, wird kein Arbeitsnotizeintrag erstellt. Alle Felder in einem Security Incident, einschließlich anwenderdefinierter Felder, die Sie der Tabelle hinzufügen, können festgelegt werden.