Security Incident Response verstehen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer
  • Mit Security Incident Response(SIR) verwalten Sie den Lebenszyklus Ihrer Security Incidents von der ersten Analyse bis zur Eindämmung, Beseitigung und Wiederherstellung. Mit der Reaktion auf Security Incidents können Sie sich ein umfassendes Verständnis der von Ihren Analysten durchgeführten Verfahren zur Reaktion auf Incidents verschaffen und Trends und Engpässe bei diesen Verfahren mithilfe analytisch gesteuerter Dashboards und Berichterstellung verstehen.

    Sehen Sie sich dieses neunminütige Video an, um mehr über den SIR-Prozess zu erfahren Security Incident ResponseDient zum Abwehr von Angriffen und zum Anzeigen von Sicherheitsaktivitäten in Security Incident ResponseExplorer.

    Integrierte Integrationen mit Cybersicherheitslösungen von Drittanbietern und von Partnern entwickelten Integrationen von ServiceNowStore Aktivieren Sie die Sicherheitsautomatisierung und -Orchestration für eine effiziente und genaue Reaktion auf Incidents.

    Um Ihre Untersuchungen zu schützen und Security Incidents privat zu halten, Security Incident ResponseBietet die Möglichkeit, den Zugriff auf das System auf bestimmte sicherheitsbezogene Rollen und ACLs zu beschränken. Administratoren, die nicht sicherheitsbezogen sind, können Zugriff verweigert werden, es sei denn, Sie lassen ihnen ausdrücklich den Eintritt zu.
    Hinweis:
    IT-Systemadministratoren [admin] können die Identität von ServiceNow-Anwendern annehmen. Wenn ein Administrator jedoch die Identität eines Anwenders mit einer Anwendungsadministratorrolle für die Reaktion auf Security Incidents übernimmt, kann er nicht auf Funktionen zugreifen, die von dieser Rolle gewährt werden, einschließlich Security Incidents und Profilinformationen. Der Zugriff auf Module und Anwendungen in der Navigationsleiste ist ebenfalls eingeschränkt. Außerdem kann der Administrator das Passwort eines Anwenders mit einer Anwendungsadministratorrolle für die Antwort auf Security Incidents nicht ändern.

    Informationsfluss zur Reaktion auf Security Incidents

    Die Reaktion auf Security Incidents verwendet den folgenden Informationsfluss, von der Integration über die Untersuchung und dann bis zur Lösung und Überprüfung.

    Hinweis:
    Dies ist eine interaktive Infografik. Sie können also versuchen, auf eines der Symbole oder Schritte im Bild zu klicken, um mehr über diesen Prozess oder diese Aufgabe zu erfahren.
    Flow für die Reaktion auf Security Incidents von InformationenKlicken Sie auf dieses Bild, um mehr über SIR-Integrationen zu erfahrenKlicken Sie auf dieses Bild, um mehr über die Erstellung von Security Incidents zu erfahrenKlicken Sie auf dieses Bild, um mehr über Threat Intelligence zu erfahrenKlicken Sie auf dieses Bild, um mehr über den SIR-Arbeitsbereich zu erfahrenKlicken Sie auf dieses Bild, um mehr über die MITRE-Angriffsfunktionen zu erfahrenKlicken Sie auf dieses Bild, um mehr über Aktivitäten zur Überprüfung nach Incidents zu erfahren

    Discovery

    Security Incidents können auf folgende Arten protokolliert oder erstellt werden.
    • Aus dem Formular „Security Incident“
    • Aus Ereignissen, die intern ausgelöst oder von externen Überwachungs- oder Schwachstellennachverfolgungssystemen über Warnungsregeln oder manuell erstellt werden
    • Aus externen Überwachungs- oder Nachverfolgungssystemen
    • Aus dem Servicekatalog

    Analyse

    Abhängig von der ausgewählten Ansicht, die Sie verwenden (Standard, nicht-IT-Sicherheit, Sicherheits-ITIL usw.) kann das Formular „Security Incidents“ eine beliebige Kombination von Schwachstellen, Incidents, Changes, Problemen, Aufgaben für das betroffene CI und die betroffenen CI-Gruppen anzeigen. Das System kann Malware, Viren und andere Schwachstellen identifizieren, indem es einen Querverweis auf die Datenbank des National Institute of Standards and Technology (NIST) oder andere Erkennungssoftware von Drittanbietern herstellt. Da Security Incidents gelöst werden, können Sie jeden Incident verwenden, um einen Security Knowledge Base-artikel zur zukünftigen Referenz zu erstellen.

    Führen Sie eine weitere Analyse mithilfe einer Business-Service-Zuordnung durch, um andere betroffene Systeme oder Business-Services zu finden, die infiziert werden können.

    Eindämmung, Beseitigung und Wiederherstellung

    Während Sie Schwachstellen überwachen und analysieren, können Sie Aufgaben erstellen und anderen Abteilungen zuweisen. Sie können eine Business-Service-Zuordnung verwenden, um Aufgaben, Probleme oder Changes für alle betroffenen Systeme, Dokumente, Aktivitäten, SMS-Nachrichten, Bridge-Aufrufe zu erstellen, und so weiter.

    Prüfung

    Nachdem der Incident gelöst wurde, können vor dem Abschluss weitere Schritte durchgeführt werden. Sie können eine Überprüfung nach Incident durchführen. Das Erstellen von Knowledge Base-Artikeln kann bei zukünftigen ähnlichen Incidents helfen. Für signifikante Incidents ist möglicherweise eine Überprüfung der Lösung nach dem Incident erforderlich. Diese Überprüfung kann mehrere Formen annehmen. Zum Beispiel:
    • Führen Sie eine Besprechung durch, um den Incident zu besprechen und Antworten zu sammeln.
    • Schreiben Sie eine Liste von Fragen zur Lösungsüberprüfung, die für jede Kategorie oder Priorität des Incidents entwickelt wurden, und verteilen Sie sie an die Teams, die an einem Incident gearbeitet haben.
    • Incident-Manager können den Bericht selbst schreiben und Informationen sammeln.
    Ein Bericht zur Überprüfung der Incident-Lösung kann automatisch generiert werden, der Folgendes enthält:
    1. Eine Zusammenfassung dessen, was getan wurde
    2. Die Zeitlinie
    3. Der Typ des aufgetretenen Security Incidents
    4. Alle zugehörigen Incidents, Changes, Probleme, Aufgaben, CI-Gruppen
    5. Die Details der Lösung
    Darüber hinaus ist ein automatisiertes Umfragesystem zur Überprüfung der Lösung von Security Incidents verfügbar. Erfasst die Namen aller Anwender, die einem Security Incident zugewiesen sind, und sendet eine anwenderdefinierte Umfrage, um Daten zur Behandlung des Incidents zu sammeln. Diese Daten können dann in einem generierten Security Incident-Überprüfungsbericht verfügbar gemacht werden, den Sie in einem endgültigen Entwurf bearbeiten können. Ähnliche Daten können einem Knowledge Base-artikel hinzugefügt werden, um gelernte Lektionen und die Schritte zur Lösung ähnlicher Probleme in der Zukunft zu enthalten.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Terminologie Für Die Reaktion Auf Security Incidents

    Die folgenden Begriffe werden in verwendet Security Incident Response.
    Termin Definition
    Aktiv Jeder Security Incident, der sich nicht im Status „Geschlossen“ oder „Abgebrochen“ befindet.
    Administratorsperre Die Fähigkeit zum Einschränken Security Incident ResponseZugriff auf Mitarbeiter mit sicherheitsbezogenen Rollen und ACLs.
    Eingehende Sicherheitsanforderungen Anforderungen, die für Sicherheitsanforderungen mit geringer Auswirkung übermittelt wurden, z. B. Anforderung eines neuen elektronischen Abzeichens.
    Verwalten Sie Aktivitäten nach Incident Eine Überprüfung der Herkunft und Behandlung eines Security Incidents. Das Endprodukt ist ein Bericht nach dem Incident, der alle durchgeführten Aktionen und die Gründe für ihre Ausführung dokumentiert.
    Antwortaufgaben Aufgaben, die einem Security Incident zugewiesen sind, um Aktionen als Reaktion auf die Bedrohung nachzuverfolgen.
    Verstehen von Security Incident-Rechnern Rechner, die zum Aktualisieren von Datensatzwerten verwendet werden, wenn vorkonfigurierte Bedingungen erfüllt sind.
    Security Incident-Verzeichnisse Diagrammtyp, der Security Incident-Daten hierarchisch in Form geschachtelter Rechtecke anzeigt.
    Bedrohungssuche Eine vom Security Incident-Katalog übermittelte Anforderung zum Scannen von Dateien, URLs und IP-Adressen auf Malware.
    Schwachstellen-Scan Eine vom Formular „Security Incident“ initiierte Anforderung zum Scannen betroffener Ressourcen (Server, Computer und andere Konfigurationselemente) auf Schwachstellen.