Aus Events und Warnungen erstellte Security Incidents

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Wenn Ereignisse aus Warnungsüberwachungstools importiert werden, werden sie zuerst von verarbeitet EreignismanagementUnd gruppiert in Warnungen. Diese Warnungen können verwendet werden, um Security Incidents basierend auf anpassbaren Warnungsregeln zu erstellen, oder manuell überprüft werden, um die Warnungen auszuwählen, die als Security Incident untersucht werden sollen.

    Sie finden eine Beispiel-Warnungsregel namens Erstellen Sie Security Incidents aus kritischen Warnungen In WarnungsregelnModul von EreignismanagementAnwendung. Diese Warnungsregel erstellt automatisch Security Incidents, wenn kritische sicherheitsbezogene Ereignisse von innerhalb empfangen werden ServiceNow Oder aus Überwachungsanwendungen von Drittparteien. Nachdem der Security Incident erstellt wurde, wird er aktualisiert, wenn neue Ereignisse empfangen werden. Sie können die Aufgabenvorlage in der Warnungsregel ändern, um die Anfangswerte für den von dieser Warnungsregel erstellten Security Incident zu ändern. Um jede unterschiedliche Vielfalt von Security Incidents zu verarbeiten, die Sie erstellen möchten, können Sie andere Warnungsregeln mit verschiedenen Bedingungen definieren.

    Alternativ können Sie, wenn Sie ein Anwender mit der Rolle „Sicherheitsadministrator“ sind, einen Security Incident manuell erstellen, indem Sie auf klicken Erstellen Sie Einen Security Incident Schaltfläche aus jeder verdächtigen Warnung.

    Es ist wichtig, dass die von externen Tools empfangenen Ereignisse die folgenden Informationen enthalten:
    • Der Knoten, der auf den Namen, die IP-Adresse oder die sys_ID des CI festgelegt ist, das zur betroffenen Ressource wird.
    • Die Ereignisklassifizierung ist auf „Sicherheit“ festgelegt, um sie von anderen IT-Ereignissen zu unterscheiden.
    • Die Ereignisbeschreibung, die die Beschreibung des Security Incidents ausfüllt.
    • Die zusätzlichen Informationen können zusätzliche Informationen enthalten, die nicht in die zuvor aufgeführten Felder oder andere Ereignisfelder passen, z. B. Kategorie, Angriffsvektoren, Rückgabe-URL oder Korrelations-ID. Das Format ist eine Zeichenfolge, die Feldnamen zusammen mit ihren Werten im folgenden JSON-Format auflistet:
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Hinweis:
    Wenn das Feld im Security Incident, in dem der Spaltenname mit dem fieldName übereinstimmt, für jedes Feld- und Wertpaar leer ist, wird es auf fieldValue festgelegt. Wenn das Feld im Security Incident nicht leer ist, wird es nicht geändert. In beiden Fällen werden das Ereignis und alle in den zusätzlichen Informationen codierten Felder und Werte in einem Arbeitsnotizeneintrag aufgezeichnet, der das Ereignis beschreibt. Wenn sich im Security Incident nichts ändert, wird kein Arbeitsnotizeneintrag erstellt. Alle Felder in einem Security Incident, einschließlich anwenderdefinierter Felder, die Sie der Tabelle hinzufügen, können festgelegt werden.