Management schwerwiegender Sicherheits-Incidents - Administration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Planen und konfigurieren Sie Ihre Management schwerwiegender Sicherheits-Incidents-Implementierung.

    Sie können die folgenden Aspekte von konfigurieren Management schwerwiegender Sicherheits-IncidentsVerwaltung:

    Aktivieren Sie Vorschlag, Heraufstufung und Verknüpfung schwerwiegender Security Incidents

    Ermöglichen Sie Anwendern, sich dafür zu entscheiden, Incidents als schwerwiegende Security Incidents vorzuschlagen oder heraufzustufen. Verfolgen Sie einfach alle Incidents im Zusammenhang mit einem schwerwiegenden Security Incident, indem Sie zulassen, dass Security Incidents mit dem übergeordneten oder untergeordneten Incident verknüpft werden.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Ermöglichen Sie Anwendern, einen Security Incident für einen schwerwiegenden Security Incident vorzuschlagen, indem Sie auswählen Schwerwiegenden Security Incident Vorschlagen Kontrollkästchen im Abschnitt SIR/VR-Arbeitsbereichsaktionen.
    3. Ermöglichen Sie Anwendern, einen Security Incident zu einem schwerwiegenden Security Incident heraufzustufen, indem Sie auswählen Zu schwerwiegendem Security Incident heraufstufen Kontrollkästchen.
    4. Aktivieren Sie die Verknüpfung eines Security Incidents mit einem schwerwiegenden Security Incident, damit sie gemeinsam nachverfolgt werden können, indem Sie auswählen Link zu schwerwiegendem Security Incident Kontrollkästchen.
    5. Wählen Sie Aktualisieren.

    Tag für Security Incidents als schwerwiegende Security Incidents

    Markieren Sie die Security Incidents oder angreifbaren Datensätze als schwerwiegenden Security Incident, wenn der Incident vorgeschlagen oder heraufgestuft wird. Wenn ein Security Incident vorgeschlagen wird, wird der Incident-Datensatz als Kandidat für schwerwiegenden Security Incident bezeichnet. Wenn eine Sicherheit heraufgestuft wird, wird der Incident-Datensatz als schwerwiegender Security Incident mit dem Status „akzeptiert“ bezeichnet.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Aktivieren Bezeichnungen Anzeigen Aktivieren Sie das Kontrollkästchen, um den vorgeschlagenen Incident-Kandidaten als schwerwiegenden Security Incident zu bezeichnen, indem Sie auswählen Bezeichnungsname: Als Kandidat Vorschlagen Suchen Sie nach Feld, und wählen Sie Kandidat für schwerwiegende Security Incidents in aus SIR/VR-Arbeitsbereichsbezeichnungen Abschnitt.
    3. Aktivieren Bezeichnungen Anzeigen Aktivieren Sie das Kontrollkästchen, um den heraufgestuften Incident-Kandidaten als schwerwiegenden Security Incident zu bezeichnen, indem Sie auswählen Bezeichnungsname: Heraufstufung zu schwerwiegendem Security Incident Suchen Sie das Feld, und wählen Sie schwerwiegenden Security Incident in aus SIR/VR-Arbeitsbereichsbezeichnungen Abschnitt.
    4. Wählen Sie Aktualisieren.

    Konfigurieren Sie Bezeichnungen für schwerwiegende Security Incidents

    Konfigurieren Sie Bezeichnungen im Management schwerwiegender Security Incidents, um anwenderdefinierte Bezeichnungen zu erstellen und die externen Zusammenarbeitsaktivitäten und -Aufgaben im Aktivitätenstrom zu filtern. Die verschiedenen Typen implementierter Bezeichnungen sind Statusbezeichnungen und Zeitleistenbezeichnungen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Aktivieren Bezeichnungen Anzeigen Kontrollkästchen zum Aktivieren der Kennzeichnung verschiedener Incident-status wie „Analyse“, „Eindämmen“, „Beseitigen“, „Wiederherstellen“, „Überprüfen“, Zeitleistenereignis in MSIM-Arbeitsbereichsbezeichnungen (in Zusammenarbeitsaktivitäten und -Aufgaben anzeigen) Abschnitt.
    3. Wählen Sie Aktualisieren.

    Konfigurieren Sie Bezeichnungen für schwerwiegende Security Incidents

    Konfigurieren Sie verschiedene Arten von Bezeichnungen, um die Incident-status besser zu filtern und anzuzeigen. Bezeichnungen für schwerwiegende Security Incidents bieten die Flexibilität, die Zusammenarbeitsaktivitäten und -Aufgaben der Incident-Datensätze zu bezeichnen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Sie können die Bezeichnungen mithilfe des Bezeichnungssymbols auswählen oder deaktivieren, das im Abschnitt „Aktivitätenstrom“ des Abschnitts „Zusammenarbeits- und Aufgabenorganisator“ des MSIM-Arbeitsbereichs verfügbar ist.

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > MSI-Bezeichnungenan.
    2. Klicken Sie Auf Neu Um eine neue Bezeichnung zu erstellen.
    3. Füllen Sie das Formular mit aus Bezeichnungsname Und Bezeichnungsfarbe .
    4. Klicken Sie Auf Erstellen Sie Eine Bezeichnung .
    5. Als Teil des Basissystems sind die folgenden Bezeichnungen für jeden Incident-Status konfiguriert, und Sie können den Bezeichnungsnamen oder die Farbe nicht ändern:
      • Analyse
      • Beinhalten
      • Beseitigen
      • Prüfung
      • Wiederherstellen
      • Zeitleistenereignis
      Hinweis:
      Sie können die anwenderdefinierten Bezeichnungen und ihre Eigenschaften ändern.

    Konfigurieren Sie Zeitleistenkategorien für schwerwiegende Security Incidents

    Konfigurieren und weisen Sie Ihren schwerwiegenden Security Incidents Zeitleistenkategorien wie Bedrohung, Antwort oder Anwenderdefiniert zu, indem Sie den Abschnitt Zeitleiste auf der Registerkarte Übersicht verwenden.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Zeitleistenkategorienan.
      Die folgenden Zeitleistenkategorien werden als Teil des Basissystems bereitgestellt:
      • Anwenderdefiniert .
      • Antwort .
      • Bedrohung .
    2. Führen Sie die folgenden Schritte aus, um eine vorhandene Zeitleisten-Ereigniskategorie zu ändern:
      1. Wählen Sie eine Zeitleisten-Ereigniskategorie aus der Liste aus.
      2. Sie können den Namen der Ereigniskategorie der Zeitleiste ändern.
      3. Sie können die Ereignisfarbe ändern und eine andere Farbe für Ihre Ereigniskategorie der Zeitleiste auswählen.
      4. Wählen Sie Aktualisieren.
    3. Führen Sie die folgenden Schritte aus, um eine neue Ereigniskategorie in der Zeitleiste zu erstellen:
      1. Wählen Sie Neu.
      2. Geben Sie im Feld Name einen Namen für die Ereigniskategorie Zeitleiste ein.
      3. Wählen Sie im Feld Ereignisfarbe mithilfe der Dropdown-Liste eine Farbe für die Kategorie der Ereigniszeitleiste aus.
      4. Wählen Sie Absenden.

    Legen Sie Benachrichtigungseinstellungen für fest MSIM

    Automatisieren Sie den E-Mail-Benachrichtigungsprozess, und benachrichtigen Sie die Anwender, wenn ein Security Incident entweder vorgeschlagen oder zu einem Kandidaten für schwerwiegenden Security Incident heraufgestuft wird.

    Erforderliche Rolle: sn_msi.Workspace_admin.

    Die Benachrichtigungen werden nur ausgelöst, wenn ein Security Incident vorgeschlagen und an alle Anwender und Gruppen gesendet wird, die für die Benachrichtigungsliste konfiguriert sind. Standardmäßig wird die E-Mail-Benachrichtigung von dem Anwender empfangen, der den Security Incident als Kandidat für schwerwiegenden Security Incident vorgeschlagen hat.

    Benachrichtigung: Als schwerwiegender Security Incident (SI) vorgeschlagen Security Incident (MSI)

    Wer erhält:

    • Standardmäßig MSI-Prüfer Der Gruppenname wird erstellt, und jeder Anwender, der dieser Gruppe hinzugefügt wird, hat die Berechtigung, ein zu sein MSIM-Manager Und die Anwender, die dieser Gruppe angehören, erhalten die Benachrichtigungs-E-Mails.
    • Beliebiger bestimmter Anwender, der zu hinzugefügt wird Anwender Die Liste erhält auch die Benachrichtigungs-E-Mails.

    Inhalt:

    Wenn Sie den E-Mail-Inhalt ändern möchten, z. B. den E-Mail-Text, der den Betreff oder die Nachrichten-HTML enthält, müssen Sie über die Rolle „Systemadministrator“ verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI für MSI vorgeschlagen
    Benachrichtigung: Security Incident als schwerwiegenden Security Incident (MSI) heraufgestuft

    Diese Benachrichtigung wird ausgelöst, wenn ein Security Incident heraufgestuft wird und wenn der Datei-Explorer und verwendet wird Microsoft TeamsBasisstruktur wird erstellt. Standardmäßig wird diese Benachrichtigung von dem Anwender empfangen, der den Security Incident zu einem schwerwiegenden Security Incident heraufgestuft hat.

    Empfänger

    • Standardmäßig A Gruppe Nach Name MSI-Beantworter Wird erstellt, und jeder Anwender, der dieser Gruppe hinzugefügt wird, hat die Berechtigung MSIM-Beantworter Rolle und alle Anwender, die dieser Gruppe angehören, erhalten die Benachrichtigungs-E-Mail.
    • Beliebiger bestimmter Anwender, der zu hinzugefügt wird Anwender Die Liste erhält auch die Benachrichtigungs-E-Mails.
    Was enthalten wird

    Wenn Sie den E-Mail-Inhalt ändern möchten, z. B. den E-Mail-Text, der den Betreff oder die Nachrichten-HTML enthält, müssen Sie über die Rolle „Systemadministrator“ verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI zu MSI heraufgestuft

    Konfigurieren Sie MSI-Abschlussaktivitäten

    Richten Sie Aktionen ein, die automatisch ausgeführt werden, wenn ein schwerwiegender Security Incident geschlossen wird. Erhöhen Sie die Sicherheit, indem Sie den Zugriff auf Ordner mit Lösungsinformationen automatisch archivieren und entfernen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Archivieren Sie Chatkommunikation im Zusammenhang mit der Lösung des Incidents, indem Sie auswählen Archivieren Sie Zusammenarbeitskanäle Kontrollkästchen im Abschnitt „automatisierte Abschlussaktionen“.
    3. Entfernen Sie Ordner, die Material im Zusammenhang mit der Lösung des Incidents enthalten, indem Sie auswählen Entfernen Sie Zusammenarbeitsordner Kontrollkästchen.
    4. Wählen Sie Aktualisieren.