Andere zusätzliche Setup-Aufgaben für Security Incident Response .

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Als Administrator in der globalen Domäne konfigurieren Sie, wie Security Incident Response tägliche Vorgänge handhabt.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:

    Diese Optionen sind für viele Servicemanagement-Anwendungen Standard und verwenden als solche Servicemanagement-Terminologie. Beispielsweise wird Anforderung für die Hauptaufgabe (den Security Incident) und Aufgabe für Teilaufgaben oder Antwortaufgaben verwendet.

    Wenn Sie Administrator in einer Domäne sind, die niedriger als die globale Domäne ist, können Sie den Bildschirm Konfigurationen anzeigen, aber die Einstellungen nicht ändern.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Konfiguration.
      Die Optionen zum Konfigurieren der Anwendungen sind unter den folgenden Registerkarten organisiert:
      • Die Registerkarte Geschäftsprozess enthält Optionen für das Einrichten des Anforderungslebenszyklus, das Erstellen von Katalogen und Anforderungen und das Konfigurieren von Benachrichtigungen.
      • Die Registerkarte Zuweisung enthält Optionen für die Einrichtung der manuellen und automatischen Zuweisung.
      • Die Registerkarte Add-Ons enthält Optionen zum Aktivieren der Wissensdatenbank, verwalteter Dokumente und von Aufgabenaktivitäten.
    2. Füllen Sie die Felder auf der Registerkarte Geschäftsprozess aus.
      Tabelle : 1. Konfigurationsbildschirm – Registerkarte „Geschäftsprozess“.
      Feld Beschreibung
      Lebenszyklus
      Zum Schließen oder Abbrechen einer Anforderung oder Aufgabe sind Arbeitsnotizen erforderlich. Aktivieren Sie diese Option, damit der Anwender Arbeitsnotizen eingeben kann, bevor ein Security Incident oder eine Reaktionsaufgabe geschlossen oder abgebrochen werden kann.
      Arbeitsnotizen zur Aufgabe in die Anforderung kopieren Aktivieren Sie diese Option, um Arbeitsnotizen zur Antwortaufgabe mit den Arbeitsnotizen im Security Incident zu synchronisieren. Wenn also Arbeitsnotizen in der Aufgabe hinzugefügt werden, werden dieselben Arbeitsnotizen auch im übergeordneten Security Incident angezeigt.
      Katalog- und Anforderungserstellung
      Anforderungen per eingehender E-Mail erstellen und aktualisieren Aktivieren Sie diese Option, um Security Incidents aus eingehenden E-Mails zu erstellen oder zu aktualisieren.
      Anforderungen werden erstellt mit Wählen Sie Katalog oder das reguläre Formular aus, um den Katalog zu aktivieren und die automatische Veröffentlichung von Vorlagen für Security Incidents im Katalog zu ermöglichen.

      Wählen Sie nur das reguläre Formular aus, um den Katalog zu deaktivieren und die automatische Veröffentlichung von Vorlagen für Security Incidents im Katalog zu deaktivieren.
      Mit Vorlagen wird ein eigenes Katalogelement erstellt. Aktivieren Sie diese Option, um die automatische Veröffentlichung von Katalogelementen für die Anwendung zu aktivieren.
      Benachrichtigungen
      Wenn sich für eine Anforderung oder Aufgabe das ausgewählte Feld ändert, wird eine Benachrichtigung an die Empfänger gesendet Sie können Benachrichtigungen konfigurieren, die an bestimmte Empfänger gesendet werden, wenn sich ausgewählte Felder in Security Incidents und Antwortaufgaben ändern.
      1. Wählen Sie unter Tabelledie Option Anforderung (Security Incident) oder Aufgabe (Antwortaufgabe)aus.
      2. Wählen Sie unter Feld das Feld zum Generieren von Benachrichtigungen aus. Wenn am ausgewählten Feld eine Änderung vorgenommen wird, wird eine Benachrichtigung an die identifizierten Empfänger gesendet.
      3. Wählen Sie unter Empfängereinen oder mehrere Empfänger aus.
      4. Wenn ein bestimmter Benutzer oder eine bestimmte Gruppe ausgewählt ist, werden Sie aufgefordert, einen Benutzer oder eine Gruppe auszuwählen.
      5. Um weitere Benachrichtigungen mit anderen Feldern oder Empfängern zu definieren, wiederholen Sie die vorherigen Schritte für den nächsten Satz von Benachrichtigungseinstellungen.
      6. Um eine Benachrichtigung zu entfernen, klicken Sie auf das Symbol für das Löschen von Benachrichtigungen rechts neben der Benachrichtigung.
    3. Klicken Sie auf die Registerkarte Zuweisung, und füllen Sie die Felder aus.
      Tabelle : 2. Konfigurationsbildschirm – Registerkarte „Zuweisung“.
      Feld Beschreibung
      Zuweisungsmethode für Anforderungen Wählen Sie die Methode für die Zuweisung von Security Incidents aus:
      • automatische Zuweisung verwenden: Security Incidents werden automatisch zugewiesen.
      • Workflow verwenden: Security Incidents werden vom ausgewählten Workflow zugewiesen.
      • manuell: Security Incidents werden manuell zugewiesen.
      Diesen Workflow zur Zuweisung von Anforderungen verwenden Wählen Sie den Workflow für die Verteilung von Security Incidents aus. Dieses Feld wird angezeigt, wenn in der Liste Zuweisungsmethode für Anforderungendie Verwendung eines Workflows ausgewählt wird.
      Zuweisungsmethode für Aufgaben Wählen Sie die Methode für die Zuweisung von Antwortaufgaben aus:
      • automatische Zuweisung verwenden: Antwortaufgaben werden automatisch zugewiesen.
      • Workflow verwenden: Antwortaufgaben werden vom ausgewählten Workflow zugewiesen.
      • manuell: Antwortaufgaben werden manuell zugewiesen.
      Verwenden Sie diesen Workflow, um Aufgaben zuzuweisen Wählen Sie den Workflow für die Zuweisung von Antwortaufgaben aus. Dieses Feld wird angezeigt, wenn in der Liste Zuweisungsmethode für Aufgabenein Workflow verwendet wird.
      Anforderungen oder Aufgaben basierend auf Abdeckungsgebieten von Zuweisungsgruppen zuweisen Aktivieren Sie diese Option, um die Zuweisung von Security Incidents und Antwortaufgaben an Gruppen zu beschränken, die den Standort der Aufgabe abdecken.
      Zeitplanung
      Bei der automatischen Auswahl von Service Desk-Mitarbeitern wird die Zeitzone für Aufgaben berücksichtigt Aktivieren Sie diese Option, um die Zeitzone des Mitarbeiters zu berücksichtigen, wenn Sie eine Aufgabe zuweisen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Zusätzliche Faktoren
      Bei der automatischen Auswahl von Mitarbeitern wird der Standort der Mitarbeiter berücksichtigt Aktivieren Sie diese Option, um Mitarbeitern, die sich näher am Aufgabenstandort befinden, bei der Zuweisung von Aufgaben den Vorzug zu geben. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Bei der automatischen Auswahl von Mitarbeitern für Aufgaben werden bestimmte Kompetenzen vorausgesetzt. Wählen Sie aus, inwieweit die Kompetenzen von Service Desk-Mitarbeitern mit einer Aufgabe übereinstimmen müssen, wenn die automatische Zuweisung bestimmt wird.
      • Wählen Sie alle aus, um festzulegen, dass ein zugewiesener Service Desk-Mitarbeiter alle Kompetenzen zum Ausführen der Aufgabe haben muss. Ein Service Desk-Mitarbeiter, dem auch nur eine Kompetenz fehlt, wird ausgeschlossen.
      • Wählen Sie einige aus, wenn Sie möchten, dass Service Desk-Mitarbeiter über die meisten der zum Ausführen der Aufgabe erforderlichen Kompetenzen verfügen.
      • Wählen Sie „Keine“ aus, wenn Sie bei der automatischen Zuweisung von Service Desk-Mitarbeitern Kompetenzen nicht berücksichtigen möchten. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Bei der automatischen Auswahl wird versucht, allen Aufgaben in einer Anforderung denselben Service Desk-Mitarbeiter zuzuweisen Aktivieren Sie diese Option, um alle Antwortaufgaben für einen Security Incident automatisch demselben Service Desk-Mitarbeiter zuzuweisen.
    4. Klicken Sie auf die Registerkarte Add-ons, und füllen Sie die Felder aus.
      Tabelle : 3. Konfigurationsbildschirm – Registerkarte „Add-Ons“.
      Feld Beschreibung
      Dokumentation
      Eigene Knowledge Base aktivieren Aktivieren Sie diese Option, um die Knowledge Base für Security Incident Responsezu aktivieren.
      Verwaltete Dokumente aktivieren Aktivieren Sie diese Option, um eine zugehörige Liste zu den verwalteten Dokumenten hinzuzufügen.
      Aufgabenaktivitäten aktivieren Aktivieren Sie diese Option, um Aufgabeninteraktionen und Kommunikation wie Telefonanrufe und E-Mail-Nachrichten zu protokollieren.
    5. Klicken Sie auf Speichern.

    Sperren Sie die Sicherheitsadministration

    Um Untersuchungen zu schützen und Security Incidents privat zu halten, können Sie den Zugriff Security Incident Response von auf sicherheitsspezifische Rollen und ACLs beschränken. Nicht-Sicherheitsadministratoren können vom Zugriff ausgeschlossen werden, es sei denn, Sie gewähren ihnen ausdrücklich Zugriff.

    Vorbereitungen

    Wenn die Anwendung Security Incident Response aktiviert ist, wird dem Systemadministrator standardmäßig die Rolle sn_si.admin gewährt. Der Systemadministrator ist der einzige Administrator, der Sicherheitsgruppen und Benutzer einrichten kann.

    Für den Zugriff auf die Funktionen und Datensätze Security Incident Response von ist eine Sicherheitsrolle erforderlich.

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Nachdem das Plugin Security Incident Response aktiviert wurde, weist ein Benutzer mit der Administratorrolle die Rolle „Bereichsbezogener Administrator“ (sn_si.admin) mindestens einem Benutzer zu.
    2. Der Benutzer mit der Administratorrolle wechselt zum Bereich „Security Incident“.
    3. Navigieren zu Alle > sys_store_app.list.
    4. Geben Sie sn_si in das Feld Umfang ein.
      Systemanwendungen.
    5. Klicken Sie auf Security Incident Response.
    6. Scrollen Sie nach unten zu den zugehörigen Links, und klicken Sie in der Rolle admin auf Entfernen.
    7. Melden Sie sich ab und wieder an.
      Der Administratorbenutzer kann nicht auf die Anwendung Security Incident Response zugreifen.

    Verwalten Sie den eingeschränkten Anruferzugriff

    Mit der Funktion „Restricted Caller Access (RCA)“ kann ein Administrator den bereichsübergreifenden Zugriff auf eine Anwendung oder Anwendungsressource definieren und Zugriffsanforderungen zulassen oder ablehnen. Diese Funktion ist standardmäßig in Security Incident Response aktiviert, damit Sicherheitsanalysten vertrauliche sicherheitsbezogene Informationen schützen können.

    Ein Feld namens Anruferzugriff wurde allen Tabellen und Skripteinbindungen in Security Incident Responsehinzugefügt, und das Feld ist standardmäßig auf Anruferverfolgungfestgelegt. Diese Einstellung bedeutet, dass Anwendungsbereiche Zugriff auf Tabellen und Skripteinbindungen Security Incident Response haben. Es wird jedoch für jeden Datensatz ein Nachverfolgungsdatensatz erstellt und in der Tabelle für eingeschränkte Anruferzugriffsberechtigungen [sys_restricted_caller_access] gespeichert.
    Hinweis:
    Seien Sie vorsichtig, wenn Sie Datensätze von „Anruferverfolgung“ in „Anruferbeschränkung“ändern. Auf Datensätze mit diesem Status kann erst zugegriffen werden, wenn ein Administrator manuell den Zugriff gewährt. Der Administrator muss zu navigieren Systemanwendungen > Anwendung – Eingeschränkter Aufruferzugriff, suchen Sie die Tabelle oder Skripteinbindung, für die Zugriff angefordert wurde, und ändern Sie das Feld Status von Angefordert in Zulässig.

    Schnellstarttests für Security Incident Response ausführen

    Überprüfen Sie, ob Security Incident Response noch funktioniert, nachdem Sie Konfigurationsänderungen vorgenommen haben, z. B. durch Anwendung eines Upgrades oder durch die Weiterentwicklung einer Anwendung. Kopieren Sie diese Schnellstarttests und passen Sie sie an, um sie bei der Verwendung Ihrer instanzspezifischen Daten zu übergeben.

    Security Incident Response-Schnellstarttests erfordern die Aktivierung des Plugins „Security Incident Response“ (com.snc.security_incident) und das Laden der Demodaten.

    Tabelle : 4. Security Incident Response-Tests
    Test Beschreibung Release-Version
    SIR: Sicherheitsincident erstellen Ermittelt, ob ein Benutzer einen Sicherheitsincident erfolgreich aus dem Sicherheitsincident-Formular erstellen kann. Yokohama
    SIR: Sicherheitsincident über den Sicherheitsincident-Katalog erstellen Ermittelt, ob ein Benutzer einen Sicherheitsincident erfolgreich aus dem Katalog erstellen kann. Yokohama
    SIR: Lebenszyklus des Sicherheitsincident Validiert die Antwortaufgaben des Richtlinienverletzungs-Workflows. Yokohama
    SIR: Bedrohungssuche Validiert die Funktion der Bedrohungssuche. Yokohama
    SIR: PIR Assessments OOTB configuration (SIR: PIR-Bewertungen – OOTB-Konfiguration) Mit diesem Test können Sie PIR-Bewertungen und Basissystemkonfigurationen validieren. Yokohama
    SIR: PIR Assessments conditional configuration (SIR: PIR-Bewertungen – Bedingte Konfiguration)

    Verifiziert, dass Security Incidents, die der obligatorischen bedingten Regel entsprechen, erst geschlossen werden, wenn die Bewertung nach dem Incident abgeschlossen ist.

    Verifiziert, dass Security Incidents, die der optionalen bedingten Regel entsprechen, geschlossen werden können, wenn die Bewertung nach dem Incident abgeschlossen ist.

    Verifiziert, dass für Security Incidents, die keiner Regel entsprechen, keine Bewertungen generiert werden.

    		 Yokohama
    SIR: PIR-Laufzeitverifizierung Überprüft, ob PIR-Berichte gemäß dem neuen Design konfiguriert und an Sicherheits-Incidents angehängt werden. Yokohama
    SIR: Setupverifizierung der PIR-Designzeit Überprüft, ob der Sicherheit-Incident je nach Administratorkonfiguration der Berichtsvorlage zugeordnet wird. Yokohama
    SIR: Security Incident mit einem vorhandenen schwerwiegenden Security Incident verknüpfen Verknüpfen Sie einen Security Incident mit einem vorhandenen schwerwiegenden Security Incident, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Yokohama
    SIR: Security Incident als schwerwiegenden Security Incident hochstufen Stufen Sie einen Security Incident zu einem schwerwiegenden Security Incident hoch, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Yokohama
    SIR: Security Incident als schwerwiegenden Security Incident vorschlagen Schlagen Sie einen Security Incident als einen schwerwiegenden Security Incident vor, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Yokohama
    Verifiziert, dass nur zulässige Mitglieder auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist Verifiziert, dass nur die zulässigen Mitglieder auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist. Yokohama
    Verifiziert, dass nur zulässige Gruppen auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist Verifiziert, dass nur die zulässigen Gruppen auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist. Yokohama
    Lesezugriff validieren Validieren Sie den Anzeigezugriff. Yokohama
    Schreibzugriff validieren Validieren Sie den Bearbeitungszugriff. Yokohama
    SIR-Arbeitsbereich: Lesezugriff Verifiziert, ob ein Anwender mit Lesezugriff den Security Incident anzeigen kann, ohne über Sicherheitsrollen zu verfügen, auch im Arbeitsbereich Yokohama
    SIR-Arbeitsbereich: Schreibzugriff Verifiziert, ob ein Anwender mit Schreibzugriff den Security Incident aktualisieren kann, ohne über Sicherheitsrollen zu verfügen Yokohama
    SIR-Arbeitsbereich: Neuen Security Incident erstellen Erstellen Sie im Arbeitsbereich einen neuen Security Incident Yokohama
    SIR-Arbeitsbereich: Antwortaufgabe erstellen Erstellen Sie eine neue Antwortaufgabe aus einem vorhandenen Security Incident Yokohama