Aus Security Incident-Liste erstellen

Sicherheitsmanagement Zürich

Release

zurich

ft:locale

de-DE

ft:publication_title

Sicherheitsmanagement Zürich

ft:clusterId

security

bundleId

security

workflow

Technology

Erstellen Sie einen Security Incident aus der Liste Security Incident

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

4 Minuten Lesedauer

Zusätzlich zu automatischen Methoden zum Erstellen von Security Incidents können Sie sie bei Bedarf manuell erstellen.

Dieses Video zeigt einen visuellen Überblick darüber, wie Sie einen Security Incident aus der Liste Security Incident erstellen können.

Vorbereitungen

Erforderliche Rolle: sn_si.Basic

Prozedur

Navigieren Sie zu einer beliebigen Security Incident-Liste (z. B. Alle > Security Incident > Incidents > Alle Incidents anzeigen) an.
Klicken Sie auf Neu.

Füllen Sie im Formular die Felder aus.


Feld	Beschreibung
Sicherheits-Tag auswählen	Wählen Sie bei Bedarf eine aus Sicherheits-Tag Um dem Datensatz Metadaten hinzuzufügen oder zu identifizieren, wer Zugriff auf diesen Security Incident-Datensatz haben soll. Dieses Feld wird erst angezeigt, nachdem der Security Incident gespeichert wurde.
Anzahl	[Schreibgeschützt] die Nummer des Security Incidents.
Angefordert von	Die Person, die die auszuführende Arbeit anfordert.
Konfigurationselement	Der Server, Computer, Router oder ein anderes Konfigurationselement, das vom Sicherheitsproblem betroffen ist.
Betroffener Anwender	Die vom Sicherheitsproblem betroffene Person.
Standort	Der Standort der anfordernden Person oder Ressource. Wenn ein Konfigurationselement Ist nicht ausgewählt, ist dieses Feld mit dem Standort der anfordernden Person vorab ausgefüllt.
Kategorie	Die Kategorie, die den Typ des Sicherheitsproblems identifiziert. Wenn eine Kategorie ausgewählt ist, wird beim Speichern des Datensatzes ein Workflow zur Analyse dieses Problems ausgeführt. Beispiel: Wenn Sie auswählen Denial of Service , Der Workflow „Security Incident – Denial of Service – Vorlage“ wird ausgeführt. Weitere Informationen finden Sie unter Workflow-Vorlagen für Security Incident Response.
Unterkategorie	Die Unterkategorie, die das Problem weiter definiert.
Geöffnet	[Schreibgeschützt] zeigt Datum und Uhrzeit der Eröffnung des Incident an.
Status	Der aktuelle Status des Security Incidents. Bei der Erstellung von Security Incidents ist dieses Feld standardmäßig auf festgelegt Entwurf .
Substatus	Gibt an, ob der Security Incident ein ausstehendes Problem oder einen Change enthält.
Quelle	Gibt die Quelle des Security Incidents an, z. B. E-Mail, Telefonanruf oder Netzwerküberwachung.
Warnungssensor	Sicherheitsintegration, über die Sie Warnungs- oder Ereignisdaten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
Warnungsregel	Die Regel im Sicherheitsprodukt, die die Erstellung dieses Security Incidents ausgelöst hat.
Risikopunktzahl	Zeigt die für diesen Security Incident berechnete Risikopunktzahl an. Der Wert basiert auf der Priorität des Security Incidents, dem Typ des Security Incidents (Denial of Service, Spear Phishing oder schädliche Codeaktivität) und der Anzahl der Quellen, die für einen Indikator eine fehlgeschlagene Reputationspunktzahl ausgelöst haben. Die Risikopunktzahl hilft bei der Priorisierung der Security Incident-Arbeit für Analysten. Mit drei Security Incident-Eigenschaften können Sie einen farbcodierten Punkt weiter festlegen, der neben der Risikopunktzahl in der Listenansicht angezeigt wird, um sie leichter zu identifizieren. Wenn Sie Änderungen an bestimmten Feldern im Security Incident vornehmen, z. B. Geschäftsauswirkung Oder Priorität , Und speichern Sie den Datensatz, Risikopunktzahl Wird automatisch neu berechnet und angezeigt. Der Change wird auch in den Arbeitsnotizen und in der zugehörigen Liste „Audits der Risikopunktzahl“ berücksichtigt. Hinweis: Die Risikopunktzahl wird auch neu berechnet, wenn betroffene Anwender einem Security Incident, betroffenen Services oder angreifbaren Elementen zugeordnet sind. Sie können auch manuell einen neuen eingeben Risikopunktzahl . Dies kann nützlich sein, wenn Sie einen bestimmten Security Incident ganz oben in der Liste der Security Incidents lassen möchten, die Sie analysieren. Wenn Sie einen neuen eingeben Risikopunktzahl , Überschreibung der Risikopunktzahl Das Kontrollkästchen ist automatisch aktiviert. Unabhängig von den im Security Incident vorgenommenen Änderungen wird eine manuell eingegebene Risikopunktzahl nicht automatisch neu berechnet. Hinweis: Wenn Sie Ihre Instanz von einem früheren Release aktualisiert haben, wurden Risikopunktzahlen für alle Ihre offenen Security Incidents berechnet. Weitere Informationen finden Sie unter Verstehen von Security Incident-Rechnern.
Überschreibung der Risikopunktzahl	Aktivieren Sie dieses Kontrollkästchen, um die automatische Aktualisierung der Risikopunktzahl zu überschreiben. Die Überschreibung wird in den Arbeitsnotizen berücksichtigt.
Geschäftsauswirkung	Wählen Sie die Wichtigkeit dieses Security Incidents für Ihr Unternehmen aus. Der Standardwert ist nicht kritisch. Wenn Sie nach dem Speichern des Security Incident-Datensatzes den Wert in ändern Priorität Gefunden/oder Risiko Felder, die Geschäftsauswirkung Wird neu berechnet.
Priorität	Wählen Sie die Reihenfolge aus, in der dieser Security Incident behandelt werden soll, basierend auf der Dringlichkeit. Wenn dieser Wert nach dem Speichern des Datensatzes geändert wird, kann dies sich auf auswirken Geschäftsauswirkung Berechnung.
Zuweisungsgruppe	Die Gruppe, der dieser Security Incident zugewiesen ist.
Zugewiesen an	Die Person, die der Analyse dieses Security Incidents zugewiesen ist. Zuweisungen können manuell oder automatisch durchgeführt werden. Weitere Informationen finden Sie unter Sicherheitsanalysten werden zugewiesen.
Kurzbeschreibung	Eine kurze Beschreibung des Security Incidents.
Wissensergebnisse	Während Sie die Kurzbeschreibung eingeben, werden Links zu zugehörigen Artikeln aus der Knowledge Base angezeigt. Das Scannen der Informationen könnte Ihr Problem lösen.

Klicken Sie mit der rechten Maustaste in den Datensatzheader, und wählen Sie aus Speichern .
Wenn Sie dem Security Incident ein neues CI hinzugefügt haben, werden die folgenden Integrations-Workflows automatisch ausgeführt:
- Security Operations – Flow „Laufende Prozesse Abrufen“. Dieser Workflow ruft eine Liste der laufenden Prozesse für ein Konfigurationselement (Configuration Item, CI) von einem Host oder Endpunkt ab.
- Security Incident Response – Workflow „laufende Services abrufen“. Dieser Workflow ruft eine Liste der laufenden Services von Windows-basierten CIs ab.
- Security Operations-Integrationen – Flow „Netzwerkstatistiken abrufen“. Dieser Workflow ruft eine Liste aktiver Netzwerkverbindungen von einem Host oder Endpunkt ab.
Um die von diesen Workflows abgerufenen Informationen anzuzeigen, klicken Sie auf Anreicherungsdaten Anzeigen Zugehöriger Link, und klicken Sie dann auf eine der angegebenen Registerkarten.

Hinweis:
Zusätzliche Workflows werden basierend auf den Drittanbieterintegrationen ausgeführt, die Sie wie folgt aktiviert haben Security Operations Carbon Black-Integration – Flow Für Laufende Prozesse Abrufen