Andere zusätzliche Security Incident ResponseRichten Sie Aufgaben ein

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Wenn Sie Administrator in der globalen Domäne sind, konfigurieren Sie wie Security Incident ResponseVerarbeitet tägliche Vorgänge.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:

    Diese Optionen sind Standard für viele Servicemanagement-Anwendungen und verwenden daher Servicemanagement-Terminologie. Beispielsweise wird „Anforderung“ für die Hauptaufgabe (d. h. den Security Incident) und „Aufgabe“ für Teilaufgaben oder Antwortaufgaben verwendet.

    Wenn Sie ein Administrator in einer Domäne unterhalb der globalen Domäne sind, können Sie den Bildschirm „Konfigurationen“ anzeigen, die Einstellungen jedoch nicht ändern.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Konfigurationan.
      Die Optionen zum Konfigurieren der Anwendungen sind unter diesen Registerkarten organisiert:
      • Die Geschäftsprozess Die Registerkarte enthält Optionen zum Einrichten des Anforderungslebenszyklus, zum Erstellen von Katalogen und Anforderungen und zum Konfigurieren von Benachrichtigungen.
      • Die Zuweisung Die Registerkarte enthält Optionen zum Einrichten der manuellen und automatischen Zuweisung.
      • Die Add-ons Die Registerkarte enthält Optionen zum Aktivieren der Knowledge Base, verwalteter Dokumente und Aufgabenaktivitäten.
    2. Füllen Sie die Felder auf aus Geschäftsprozess Registerkarte.
      Tabelle : 1. Konfigurationsbildschirm – Registerkarte „Geschäftsprozess“
      Feld Beschreibung
      Lebenszyklus
      Zum Schließen oder Abbrechen einer Anforderung oder Aufgabe sind Arbeitsnotizen erforderlich. Aktivieren Sie diese Option, damit der Anwender Arbeitsnotizen eingeben muss, bevor ein Security Incident oder eine Antwortaufgabe geschlossen oder abgebrochen werden kann.
      Arbeitsnotizen zur Aufgabe in die Anforderung kopieren Aktivieren Sie diese Option, um Arbeitsnotizen für Antwortaufgaben mit den Arbeitsnotizen zum Security Incident zu synchronisieren. Wenn Arbeitsnotizen in der Aufgabe hinzugefügt werden, werden im übergeordneten Security Incident dieselben Arbeitsnotizen angezeigt.
      Katalog- und Anforderungserstellung
      Anforderungen per eingehender E-Mail erstellen und aktualisieren Aktivieren Sie diese Option, um Security Incidents aus eingehenden E-Mails zu erstellen oder zu aktualisieren.
      Anforderungen werden mit erstellt Wählen Sie Aus Katalog- oder reguläres Formular Dient zum Aktivieren des Katalogs und zum Aktivieren der automatischen Veröffentlichung von Security Incident-Vorlagen im Katalog.

      Wählen Sie Aus Nur reguläres Formular Zum Deaktivieren des Katalogs und zum Deaktivieren der automatischen Veröffentlichung von Security Incident-Vorlagen im Katalog.
      Mit Vorlagen wird ein eigenes Katalogelement erstellt. Aktivieren Sie diese Option, um die automatische Veröffentlichung von Katalogelementen für die Anwendung zu aktivieren.
      Benachrichtigungen
      Senden Sie für eine Anforderung oder Aufgabe eine Benachrichtigung an Empfänger, wenn sich das ausgewählte Feld ändert Sie können Benachrichtigungen konfigurieren, die an bestimmte Empfänger gesendet werden, wenn sich ausgewählte Felder in Security Incidents und Antwortaufgaben ändern.
      1. Von Tabelle , Auswählen Anforderung (Security Incident Oder Aufgabe (Antwortaufgabe) .
      2. Von Feld , Wählen Sie das Feld aus, das zum Generieren von Benachrichtigungen verwendet werden soll. Wenn eine Änderung am ausgewählten Feld vorgenommen wird, wird eine Benachrichtigung an die identifizierten Empfänger gesendet.
      3. Von Empfänger , Wählen Sie einen oder mehrere Empfänger aus.
      4. Wenn Sie auswählen Ein bestimmter Anwender Oder Eine bestimmte Gruppe , Sie werden aufgefordert, einen Anwender oder eine Gruppe auszuwählen.
      5. Um weitere Benachrichtigungen mit anderen Feldern oder Empfängern zu definieren, wiederholen Sie die vorherigen Schritte für den nächsten Satz von Benachrichtigungseinstellungen.
      6. Klicken Sie auf, um eine Benachrichtigung zu entfernen Löschen Sie das BenachrichtigungssymbolSymbol rechts neben der Benachrichtigung.
    3. Klicken Sie auf Zuweisung Registerkarte und füllen Sie die Felder aus.
      Tabelle : 2. Konfigurationsbildschirm – Registerkarte „Zuweisung“
      Feld Beschreibung
      Zuweisungsmethode für Anforderungen Wählen Sie die Methode für die Zuweisung von Security Incidents aus:
      • Automatische Zuweisung wird verwendet : Security Incidents werden automatisch zugewiesen.
      • Verwenden eines Workflows : Security Incidents werden vom ausgewählten Workflow zugewiesen.
      • Manuell : Security Incidents werden manuell zugewiesen.
      Verwenden Sie diesen Workflow, um Anforderungen zuzuweisen Wählen Sie den Workflow für das Senden von Security Incidents aus. Dieses Feld wird angezeigt, wenn Verwenden eines Workflows Ist aus ausgewählt Zuweisungsmethode für Anforderungen Liste.
      Zuweisungsmethode für Aufgaben Wählen Sie die Methode für die Zuweisung von Antwortaufgaben aus:
      • Automatische Zuweisung wird verwendet : Antwortaufgaben werden automatisch zugewiesen.
      • Verwenden eines Workflows : Antwortaufgaben werden vom ausgewählten Workflow zugewiesen.
      • Manuell : Antwortaufgaben werden manuell zugewiesen.
      Verwenden Sie diesen Workflow, um Aufgaben zuzuweisen Wählen Sie den Workflow für die Zuweisung von Antwortaufgaben aus. Dieses Feld wird angezeigt, wenn Verwenden eines Workflows Ist aus ausgewählt Zuweisungsmethode für Aufgaben Liste.
      Anforderungen oder Aufgaben basierend auf Abdeckungsgebieten von Zuweisungsgruppen zuweisen Aktivieren Sie diese Option, um die Zuweisung von Security Incidents und Antwortaufgaben auf Gruppen zu beschränken, die den Standort der Aufgabe abdecken.
      Zeitplanung
      Die automatische Auswahl von Service Desk-Mitarbeitern berücksichtigt die Zeitzone für Aufgaben Aktivieren Sie diese Option, um die Zeitzone des Service Desk-Mitarbeiters beim Zuweisen einer Aufgabe zu berücksichtigen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Zusätzliche Faktoren
      Bei der automatischen Auswahl von Service Desk-Mitarbeitern wird der Standort von Service Desk-Mitarbeitern berücksichtigt Aktivieren Sie diese Option, um Service Desk-Mitarbeitern, die näher am Aufgabenstandort sind, beim Zuweisen von Aufgaben eine Präferenz zu geben. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Bei der automatischen Auswahl von Mitarbeitern für Aufgaben werden bestimmte Kompetenzen vorausgesetzt. Wählen Sie den Grad aus, in dem die Kompetenzen des Service Desk-Mitarbeiters bei der Bestimmung der automatischen Zuweisung mit einer Aufgabe abgeglichen werden müssen.
      • Wählen Sie Aus Alle Um zu verlangen, dass ein zugewiesener Service Desk-Mitarbeiter über alle Kompetenzen verfügen muss, um die Aufgabe auszuführen. Ein Service Desk-Mitarbeiter, dem nur eine Kompetenz fehlt, wird eliminiert.
      • Wählen Sie Aus Einige Wenn Sie Service Desk-Mitarbeiter möchten, die über die meisten Kompetenzen verfügen, die zum Ausführen der Aufgabe erforderlich sind.
      • Wählen Sie Aus Keine Wenn Sie Service Desk-Mitarbeiter automatisch zuweisen möchten, ohne Kompetenzen zu berücksichtigen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Automatische Auswahl versucht, allen Aufgaben in einer Anforderung denselben Service Desk-Mitarbeiter zuzuweisen Aktivieren Sie diese Option, um alle Antwortaufgaben für einen Security Incident automatisch demselben Service Desk-Mitarbeiter zuzuweisen.
    4. Klicken Sie auf Add-ons Registerkarte und füllen Sie die Felder aus.
      Tabelle : 3. Konfigurationsbildschirm – Registerkarte „Add-ons“
      Feld Beschreibung
      Dokumentation
      Eigene Knowledge Base aktivieren Aktivieren Sie diese Option, um die Knowledge Base für zu aktivieren Security Incident Response.
      Verwaltete Dokumente aktivieren Aktivieren Sie diese Option, um verwalteten Dokumenten eine zugehörige Liste hinzuzufügen.
      Aufgabenaktivitäten aktivieren Aktivieren Sie diese Option, um Aufgabeninteraktionen und -Kommunikation wie Telefonanrufe und E-Mail-Nachrichten zu protokollieren.
    5. Klicken Sie auf Speichern.

    Sperren Sie die Sicherheitsverwaltung

    Um Untersuchungen zu schützen und Security Incidents privat zu halten, können Sie einschränken Security Incident ResponseZugriff auf sicherheitsspezifische Rollen und ACLs. Administratoren, die nicht sicherheitsbezogen sind, können Zugriff verweigert werden, es sei denn, Sie lassen ihnen ausdrücklich den Eintritt zu.

    Vorbereitungen

    Wenn Security Incident ResponseDie Anwendung ist aktiviert, und dem Systemadministratoranwender wird standardmäßig die Rolle „sn_si.admin“ gewährt. Der Systemadministrator ist der einzige Administrator, der Sicherheitsgruppen und Anwender einrichten kann.

    Eine Sicherheitsrolle ist erforderlich, um Zugriff auf zu haben Security Incident ResponseFunktionen und Datensätze.

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Nach Security Incident ResponsePlugin wurde aktiviert. Ein Anwender mit der Administratorrolle weist mindestens einem Anwender die bereichsbezogene Administratorrolle (sn_si.admin) zu.
    2. Der Anwender mit der Administratorrolle ändert sich in den Bereich von Security Incidents.
    3. Navigieren zu Alle > sys_Store_App.listan.
    4. Typ sn_si In Umfang Feld.
      Systemanwendungen.
    5. Klicken Sie Auf Antwort Auf Security Incidents .
    6. Scrollen Sie nach unten zu Zugehörige Links Und klicken Sie auf Entfernen Sie aus der Rolle des Administrators .
    7. Melden Sie sich ab, und melden Sie sich erneut an.
      Der Administratoranwender kann nicht auf zugreifen Security Incident ResponseAnwendung.

    Verwalten Sie Eingeschränkten Anruferzugriff

    Mit der Funktion „eingeschränkter Anruferzugriff“ (RCA) kann ein Administrator den bereichsübergreifenden Zugriff auf eine Anwendung oder Anwendungsressource definieren und Zugriffsanforderungen zulassen oder verweigern. Diese Funktion ist in aktiviert Security Incident ResponseStandardmäßig können Sicherheitsanalysten vertrauliche sicherheitsbezogene Informationen schützen.

    Ein Feld namens Anruferzugriff Wurde allen Tabellen und Skripteinbindungen in hinzugefügt Security Incident Response, Und das Feld ist standardmäßig auf Anrufernachverfolgung . Diese Einstellung bedeutet, dass Anwendungsbereiche Zugriff auf haben Security Incident ResponseTabellen und Skripteinbindungen. Für jeden Datensatz wird jedoch ein Nachverfolgungsdatensatz erstellt und in der Tabelle „eingeschränkte Anruferzugriffsberechtigung“ [sys_restricted_caller_access] gespeichert.
    Hinweis:
    Gehen Sie beim Ändern von Datensätzen von vorsichtig vor Anrufernachverfolgung Bis Anrufer Eingeschränkt . Auf Datensätze mit diesem Status kann erst zugegriffen werden, wenn ein Administrator manuell Zugriff darauf gewährt. Der Administrator muss zu navigieren Systemanwendungen > Anwendung – Eingeschränkter Aufruferzugriff, Suchen Sie die Tabelle oder Skripteinbindung, für die der Zugriff angefordert wurde, und ändern Sie Status Feld von Angefordert Bis Zulässig .

    Führen Sie Schnellstarttests für aus Security Incident Response

    Validieren Sie das Security Incident ResponseFunktioniert weiterhin, nachdem Sie Konfigurationsänderungen vorgenommen haben, z. B. das Anwenden eines Upgrades oder die Entwicklung einer Anwendung. Kopieren Sie diese Schnellstarttests und passen Sie sie an, um sie bei der Verwendung Ihrer instanzspezifischen Daten zu übergeben.

    Security Incident Response Schnellstarttests erfordern die Aktivierung des Plugins „Reaktion auf Security Incidents“ (com.snc.security_incident) und das Laden der Demodaten.

    Tabelle : 4. Security Incident Response Tests
    Test Beschreibung Freigabeversion
    SIR: Security Incident erstellen Legen Sie fest, ob ein Anwender erfolgreich einen Security Incident über das Security Incident-Formular erstellen kann. Yokohama
    SIR: Erstellen Sie einen Security Incident über den Security Incident-Katalog Legen Sie fest, ob ein Anwender erfolgreich einen Security Incident aus dem Katalog erstellen kann. Yokohama
    SIR: Lebenszyklus des Security Incidents Validieren Sie die Antwortaufgaben des Richtlinienverstoß-Workflows. Yokohama
    SIR: Bedrohungssuche Validiert die Fähigkeit zur Bedrohungssuche. Yokohama
    SIR: OOTB-Konfiguration für PIR-Bewertungen Verwenden Sie diesen Test, um PIR-Bewertungen und Basissystemkonfigurationen zu validieren. Yokohama
    SIR: Bedingte Konfiguration von PIR-Bewertungen

    Stellen Sie sicher, dass Security Incidents, die der obligatorischen bedingten Regel entsprechen, nicht geschlossen werden, ohne die Bewertung nach dem Incident abzuschließen.

    Stellen Sie sicher, dass die Security Incidents, die der optionalen bedingten Regel entsprechen, geschlossen werden können, ohne die Bewertung nach dem Incident abzuschließen.

    Stellen Sie sicher, dass keine Bewertungen für die Security Incidents generiert werden, die keiner Regel entsprechen.

    		 Yokohama
    SIR: Verifizierung der PIR-Laufzeit Stellen Sie sicher, dass PIR-Berichte gemäß dem neuen Design konfiguriert und an die Security Incidents angehängt sind. Yokohama
    SIR: Verifizierung des Setup der PIR-Designzeit Stellen Sie sicher, dass der Security Incident der Berichtsvorlage basierend auf der Administratorkonfiguration zugeordnet ist. Yokohama
    SIR: Verknüpfen Sie einen Security Incident mit einem vorhandenen schwerwiegenden Security Incident Verknüpfen Sie einen Security Incident mit einem vorhandenen schwerwiegenden Security Incident, und validieren Sie Daten aus Security Incidents, die bis zu schwerwiegenden Security Incidents zusammengefasst wurden. Yokohama
    SIR: Security Incident als schwerwiegenden Security Incident heraufstufen Heraufstufen eines Security Incidents als schwerwiegenden Security Incident und validieren Daten aus Security Incidents, die bis zu schwerwiegenden Security Incidents zusammengefasst wurden. Yokohama
    SIR: Security Incident als schwerwiegenden Security Incident vorschlagen Schlagen Sie einen Security Incident als schwerwiegenden Security Incident vor, und validieren Sie Daten aus Security Incidents, die bis zu schwerwiegenden Security Incidents zusammengefasst wurden. Yokohama
    Stellen Sie sicher, dass nur zulässige Mitglieder auf den Security Incident zugreifen können, sobald „Einschränkung erzwingen“ AKTIVIERT ist Stellen Sie sicher, dass nur die zulässigen Mitglieder auf den Security Incident zugreifen können, sobald die Einschränkung erzwingen aktiviert ist. Yokohama
    Stellen Sie sicher, dass nur zulässige Gruppen auf den Security Incident zugreifen können, sobald „Einschränkung erzwingen“ AKTIVIERT ist Stellen Sie sicher, dass nur die zulässigen Gruppen auf den Security Incident zugreifen können, sobald die Einschränkung erzwingen aktiviert ist. Yokohama
    Validieren Sie Den Lesezugriff Validieren Sie den Ansichtszugriff. Yokohama
    Validieren Sie Den Schreibzugriff Validieren Sie den Bearbeitungszugriff. Yokohama
    SIR-Arbeitsbereich: Lesezugriff Stellen Sie sicher, dass der Lesezugriff-Anwender den Security Incident anzeigen kann, ohne über Sicherheitsrollen selbst im Arbeitsbereich zu verfügen Yokohama
    SIR-Arbeitsbereich: Schreibzugriff Stellen Sie sicher, dass der Schreibzugriff-Anwender den Security Incident ohne Sicherheitsrollen aktualisieren kann Yokohama
    SIR-Arbeitsbereich: Neuen Security Incident erstellen Erstellen Sie einen neuen Security Incident aus dem Arbeitsbereich Yokohama
    SIR-Arbeitsbereich: Antwortaufgabe erstellen Erstellen Sie eine neue Antwortaufgabe aus einem vorhandenen Security Incident Yokohama