Security Incidents, die aus Ereignissen und Warnungen erstellt wurden
Wenn Ereignisse aus Warnungs-Überwachungstools importiert werden, werden sie zuerst von verarbeitet EreignismanagementUnd gruppiert in Warnungen. Diese Warnungen können verwendet werden, um Security Incidents basierend auf anpassbaren Warnungsregeln zu erstellen, oder manuell überprüft, um die Warnungen auszuwählen, die als Security Incident untersucht werden sollen.
Sie finden eine Beispielwarnungsregel namens Erstellen Sie Security Incidents aus kritischen Warnungen In WarnungsregelnModul von EreignismanagementAnwendung. Diese Warnungsregel erstellt automatisch Security Incidents, wenn kritische sicherheitsbezogene Ereignisse von innen empfangen werden ServiceNowOder aus Überwachungsanwendungen von Drittparteien. Nachdem der Security Incident erstellt wurde, wird er aktualisiert, wenn neue Ereignisse empfangen werden. Sie können die Aufgabenvorlage in der Warnungsregel ändern, um die Anfangswerte für den von dieser Warnungsregel erstellten Security Incident zu ändern. Um jede unterschiedliche Vielfalt von Security Incidents zu verarbeiten, die Sie erstellen möchten, können Sie andere Warnungsregeln mit verschiedenen Bedingungen definieren.
Wenn Sie ein Anwender mit der Rolle „Sicherheitsadministrator“ sind, können Sie alternativ manuell einen Security Incident erstellen, indem Sie auf klicken Erstellen Sie Einen Security Incident Schaltfläche aus einer verdächtigen Warnung.
- Der Knoten, der auf den Namen, die IP-Adresse oder die sys_ID des CI festgelegt ist, das zur betroffenen Ressource wird.
- Die Ereignisklassifizierung ist auf „Sicherheit“ festgelegt, um sie von anderen IT-Ereignissen zu unterscheiden.
- Die Ereignisbeschreibung, die die Beschreibung des Security Incidents ausfüllt.
- Die zusätzlichen Informationen können zusätzliche Informationen enthalten, die nicht in die zuvor aufgeführten Felder oder andere Ereignisfelder passen, z. B. Kategorie, Angriffsvektoren, Rückgabe-URL oder Korrelations-ID. Das Format ist eine Zeichenfolge, die Feldnamen zusammen mit ihren Werten im folgenden JSON-Format auflistet:
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }