Playbook für die Automatisierung untergeordneter Security Incidents
Doppelte Security Incidents werden als untergeordnete Security Incidents kategorisiert und in den übergeordneten Security Incidents zusammengefasst.
Das Playbook für die Automatisierung von untergeordneten Security Incidents trägt dazu bei, den Zeitaufwand für die Untersuchung und das Schließen doppelter Security Incidents zu reduzieren. Dieses Playbook führt automatisch einen Rollup bestimmter eindeutiger Artefakte des untergeordneten Security Incidents (erkennbare Elemente, betroffene Anwender, CIs) zum übergeordneten Security Incident durch.
Voraussetzungen
- sn_si.admin
- flow_designer
Spoke: Security Operations-Spoke installieren (sn_sec_Spoke)
Wichtige Funktionen
Das Playbook für untergeordnete Automatisierung umfasst die folgenden Fähigkeiten:
- Verschiebt den Security Incident in Analyse Phase.
- Eliminiert Duplikate und fügt dem übergeordneten Security Incident die betroffenen Anwender und CIs hinzu (Rollup).
- Fügt dem übergeordneten Security Incident erkennbare Elemente aus dem untergeordneten Incident hinzu.
- Schließt oder bricht den untergeordneten Security Incident ab, wenn der übergeordnete Security Incident geschlossen wird.
Fähigkeiten erforderlich
Weitere Informationen finden Sie unter ServiceNow-Store .
Sicherheitsanalysten-Experience
Informationen zur schrittweisen Lösung von Sicherheitsbedrohungen finden Sie unter Lösen Sie Sicherheitsbedrohungen mit dem Playbook.
Tieferes Verständnis des Playbooks für die Automatisierung untergeordneter Security Incidents mit Flow Designer-Fähigkeiten
- Melden Sie sich als Anwender mit den Rollen sn_si.user und Flow_Designer an.
- Navigieren zu Und klicken Sie auf das Playbook für fehlgeschlagene Anmeldung.
- Erstellen Sie eine Kopie des Playbooks für die Automatisierung untergeordneter Security Incidents, und nehmen Sie die erforderlichen Änderungen vor. (Dies ist ein optionaler Schritt. Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen daran vorzunehmen).
- Nehmen Sie die erforderlichen Änderungen entsprechend Ihren Anforderungen vor. (Dies ist ein optionaler Schritt. Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen daran vorzunehmen).
- Aktivieren Sie das Playbook.
- Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
- Aktivieren Sie den kopierten Flow, nachdem Sie Änderungen gemäß Ihren Anforderungen vorgenommen haben.
- Das Feld „übergeordneter Security Incident“ ist nicht leer.
- Der übergeordnete Security Incident befindet sich im Status „Entwurf“, „Analyse“, „Eindämmen“ oder „Beseitigen“.
Die folgenden Schritte führen Sie durch die Aktionen und Aufgaben, die im Playbook „Automatisierung untergeordneter Security Incidents“ verfügbar sind.
- Wenn das Playbook mit der Ausführung beginnt, wird es in Schritt 1 aktualisiert und in den Status „Entwurf“ versetzt, wenn sich der Security Incident im Status „Analyse“ befindet.
- In den Schritten 2 und 3 werden betroffene Anwender für den Security Incident abgerufen und zum übergeordneten Security Incident zusammengefasst. Alle doppelten Anwender werden eliminiert.
- In den Schritten 4 und 5 werden Konfigurationselemente abgerufen, die dem untergeordneten Security Incident zugeordnet sind, und eindeutige CIs werden zum übergeordneten Security Incident zusammengefasst.
- In den Schritten 6 und 7 werden erkennbare Elemente abgerufen, die dem untergeordneten Security Incident zugeordnet sind, und eindeutige erkennbare Elemente werden zum übergeordneten Security Incident zusammengefasst.
- In den Schritten 8 und 9 werden automatisierte Arbeitsnotizen in den übergeordneten und untergeordneten Security Incidents veröffentlicht, die angeben, dass die betroffenen Anwender, Konfigurationselemente und erkennbaren Elemente vom untergeordneten zum übergeordneten Security Incident zusammengefasst wurden.