Management schwerwiegender Sicherheits-Incidents – Administration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Planen und konfigurieren Sie Ihre Management schwerwiegender Sicherheits-Incidents-Implementierung.

    Sie können die folgenden Aspekte von konfigurieren Management schwerwiegender Sicherheits-Incidents Verwaltung:

    Aktivieren Sie Vorschlag, Heraufstufung und Verknüpfung schwerwiegender Security Incidents

    Ermöglichen Sie Anwendern die Entscheidung, Incidents als schwerwiegende Security Incidents vorzuschlagen oder heraufzustufen. Verfolgen Sie einfach alle Incidents im Zusammenhang mit einem schwerwiegenden Security Incident, indem Sie zulassen, dass Security Incidents mit dem übergeordneten oder untergeordneten Incident verknüpft werden.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Ermöglichen Sie Anwendern, einen Security Incident für einen schwerwiegenden Security Incident vorzuschlagen, indem Sie auswählen Schwerwiegenden Security Incident Vorschlagen Kontrollkästchen im Abschnitt SIR/VR-Arbeitsbereichsaktionen.
    3. Ermöglichen Sie Anwendern, einen Security Incident zu einem schwerwiegenden Security Incident hochzustufen, indem Sie auswählen Zu schwerwiegendem Security Incident heraufstufen Kontrollkästchen.
    4. Aktivieren Sie die Verknüpfung eines Security Incidents mit einem schwerwiegenden Security Incident, damit sie gemeinsam nachverfolgt werden können, indem Sie auswählen Link zu schwerwiegendem Security Incident Kontrollkästchen.
    5. Wählen Sie Aktualisieren.

    Markieren Sie Security Incidents als schwerwiegende Security Incidents

    Kennzeichnen Sie die Security Incidents oder angreifbaren Datensätze als schwerwiegenden Security Incident, wenn der Incident vorgeschlagen oder heraufgestuft wird. Wenn ein Security Incident vorgeschlagen wird, wird der Incident-Datensatz als Kandidat für schwerwiegenden Security Incident bezeichnet. Wenn eine Sicherheit heraufgestuft wird, wird der Incident-Datensatz als schwerwiegender Security Incident mit dem Status akzeptiert bezeichnet.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Aktivieren Bezeichnungen Anzeigen Aktivieren Sie das Kontrollkästchen, um den vorgeschlagenen Incident-Kandidaten als schwerwiegenden Security Incident zu bezeichnen, indem Sie auswählen Bezeichnungsname: Als Kandidat Vorschlagen Suchen Sie das Feld, und wählen Sie Kandidat für schwerwiegenden Security Incident im aus SIR/VR-Arbeitsbereichsbezeichnungen Abschnitt.
    3. Aktivieren Bezeichnungen Anzeigen Aktivieren Sie das Kontrollkästchen, um den heraufgestuften Incident-Kandidaten als schwerwiegenden Security Incident zu bezeichnen, indem Sie auswählen Bezeichnungsname: Heraufstufung zu schwerwiegendem Security Incident Suchen Sie das Feld , und wählen Sie schwerwiegender Security Incident im aus SIR/VR-Arbeitsbereichsbezeichnungen Abschnitt.
    4. Wählen Sie Aktualisieren.

    Konfigurieren Sie Bezeichnungen für schwerwiegende Security Incidents

    Konfigurieren Sie Bezeichnungen im Management schwerwiegender Security Incidents, um anwenderdefinierte Bezeichnungen zu erstellen und die externen Zusammenarbeitsaktivitäten und -Aufgaben im Aktivitätenstrom zu filtern. Die verschiedenen Arten implementierter Bezeichnungen sind Status- und Zeitleistenbezeichnungen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Aktivieren Bezeichnungen Anzeigen Kontrollkästchen zum Aktivieren der Kennzeichnung verschiedener Incident-status wie „Analyse“, „Eindämmen“, „Beseitigen“, „Wiederherstellen“, „Überprüfen“, Zeitleistenereignis in MSIM-Arbeitsbereichsbezeichnungen (Anzeige in Zusammenarbeitsaktivitäten und -Aufgaben) Abschnitt.
    3. Wählen Sie Aktualisieren.

    Konfigurieren Sie Bezeichnungen für schwerwiegende Security Incidents

    Konfigurieren Sie verschiedene Arten von Bezeichnungen, um die Incident-status besser zu filtern und anzuzeigen. Bezeichnungen für schwerwiegende Security Incidents bieten die Flexibilität, die Zusammenarbeitsaktivitäten und -Aufgaben der Incident-Datensätze zu bezeichnen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Sie können die Bezeichnungen über das Bezeichnungssymbol auswählen oder deaktivieren, das im Abschnitt „Aktivitätenstrom“ des Abschnitts „Zusammenarbeits- und Aufgabenorganisator“ des MSIM-Arbeitsbereichs verfügbar ist.

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > MSI-Bezeichnungenan.
    2. Klicken Sie Auf Neu Um eine neue Bezeichnung zu erstellen.
    3. Füllen Sie das Formular mit aus Bezeichnungsname Und Bezeichnungsfarbe .
    4. Klicken Sie Auf Bezeichnung Erstellen .
    5. Als Teil des Basissystems sind im Folgenden die konfigurierten Bezeichnungen für jeden Incident-Status aufgeführt, und Sie können den Bezeichnungsnamen oder die Farbe nicht ändern:
      • Analyse
      • Beinhalten
      • Beseitigen
      • Prüfung
      • Wiederherstellen
      • Zeitleistenereignis
      Hinweis:
      Sie können die anwenderdefinierten Bezeichnungen und ihre Eigenschaften ändern.

    Konfigurieren Sie Zeitleistenkategorien für schwerwiegende Security Incidents

    Konfigurieren und weisen Sie Ihren schwerwiegenden Security Incidents Zeitleistenkategorien wie Bedrohung, Antwort oder Anwenderdefiniert zu, indem Sie den Abschnitt Zeitleiste auf der Registerkarte Übersicht verwenden.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Zeitleistenkategorienan.
      Die folgenden Zeitleistenkategorien werden als Teil des Basissystems bereitgestellt:
      • Anwenderdefiniert .
      • Antwort .
      • Bedrohung .
    2. Führen Sie die folgenden Schritte aus, um eine vorhandene Zeitleisten-Ereigniskategorie zu ändern:
      1. Wählen Sie eine Ereigniskategorie der Zeitleiste aus der Liste aus.
      2. Sie können den Namen der Ereigniskategorie der Zeitleiste ändern.
      3. Sie können die Ereignisfarbe ändern und eine andere Farbe für Ihre Ereigniskategorie der Zeitleiste auswählen.
      4. Wählen Sie Aktualisieren.
    3. Führen Sie die folgenden Schritte aus, um eine neue Ereigniskategorie der Zeitleiste zu erstellen:
      1. Wählen Sie Neu.
      2. Geben Sie im Feld Name einen Namen für die Ereigniskategorie Zeitleiste ein.
      3. Wählen Sie im Feld Ereignisfarbe mithilfe der Dropdown-Liste eine Farbe für die Ereigniszeitleistenkategorie aus.
      4. Wählen Sie Absenden.

    Legen Sie Benachrichtigungseinstellungen für fest MSIM

    Automatisieren Sie den E-Mail-Benachrichtigungsprozess, und benachrichtigen Sie die Anwender, wenn ein Security Incident entweder vorgeschlagen oder zu einem Kandidaten für schwerwiegenden Security Incident heraufgestuft wird.

    Erforderliche Rolle: sn_msi.Workspace_admin.

    Die Benachrichtigungen werden nur ausgelöst, wenn ein Security Incident vorgeschlagen und an alle Anwender und Gruppen gesendet wird, die für die Benachrichtigungsliste konfiguriert sind. Standardmäßig wird die E-Mail-Benachrichtigung von dem Anwender empfangen, der den Security Incident als Kandidaten für schwerwiegenden Security Incident vorgeschlagen hat.

    Benachrichtigung: Security Incident vorgeschlagen (SI) als schwerwiegender Security Incident (MSI)

    Wer erhält:

    • Standardmäßig MSI-Prüfer Der Gruppenname wird erstellt, und jeder Anwender, der dieser Gruppe hinzugefügt wird, hat die Berechtigung, ein zu sein MSIM-Manager Und die Anwender, die dieser Gruppe angehören, erhalten die Benachrichtigungs-E-Mails.
    • Jeder bestimmte Anwender, der zu hinzugefügt wird Anwender Die Liste erhält auch die Benachrichtigungs-E-Mails.

    Inhalt:

    Wenn Sie den E-Mail-Inhalt ändern möchten, z. B. den Text der E-Mail, der den Betreff oder die Nachrichten-HTML enthält, müssen Sie über die Systemadministrator-Rolle verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI für MSI vorgeschlagen
    Benachrichtigung: Security Incident als schwerwiegender Security Incident (MSI) heraufgestuft

    Diese Benachrichtigung wird ausgelöst, wenn ein Security Incident heraufgestuft wird und wenn der Datei-Explorer und verwendet wird Microsoft Teams Basisstruktur wird erstellt. Standardmäßig wird diese Benachrichtigung von dem Anwender empfangen, der den Security Incident zu einem schwerwiegenden Security Incident heraufgestuft hat.

    Empfänger

    • Standardmäßig A Gruppe Nach Name MSI-Beantworter Wird erstellt, und jeder Anwender, der dieser Gruppe hinzugefügt wird, hat die Berechtigung MSIM-Beantworter Die Rolle und alle Anwender, die dieser Gruppe angehören, erhalten die Benachrichtigungs-E-Mail.
    • Jeder bestimmte Anwender, der zu hinzugefügt wird Anwender Die Liste erhält auch die Benachrichtigungs-E-Mails.
    Was wird enthalten

    Wenn Sie den E-Mail-Inhalt ändern möchten, z. B. den Text der E-Mail, der den Betreff oder die Nachrichten-HTML enthält, müssen Sie über die Systemadministrator-Rolle verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI zu MSI heraufgestuft

    Konfigurieren Sie MSI-Abschlussaktivitäten

    Legen Sie Aktionen fest, die automatisch ausgeführt werden, wenn ein schwerwiegender Security Incident geschlossen wird. Erhöhen Sie die Sicherheit, indem Sie den Zugriff auf Ordner mit Lösungsinformationen automatisch archivieren und entfernen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.Workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Archivieren Sie Chatkommunikation im Zusammenhang mit der Lösung des Incident, indem Sie auswählen Archivieren Sie Zusammenarbeitskanäle Kontrollkästchen im Abschnitt automatisierte Abschlussaktionen.
    3. Entfernen Sie Ordner, die Material im Zusammenhang mit der Lösung des Incident enthalten, indem Sie auswählen Entfernen Sie Zusammenarbeitsordner Kontrollkästchen.
    4. Wählen Sie Aktualisieren.