Führen Sie eine Fragebogenbasierte Überprüfung nach Incident durch

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Sie können entscheiden, dass eine Überprüfung des Security Incident nach dem Incident gerechtfertigt ist. Eine Überprüfung nach Incident beschreibt, was passiert ist, hilft bei der Bestimmung des Incident-Auftretens und identifiziert, wie er in Zukunft vermieden oder behandelt werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.Manager, sn_si.Analyst
    Hinweis:
    Jeder Anwender kann unabhängig von seiner Rolle an einem Fragebogen zur Überprüfung nach Incident teilnehmen. Rollen können einer Überprüfung zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Die ServiceNow Security Incident Response Die Anwendung kann die Erfassung von Informationen zur Überprüfung nach dem Incident von allen an einem Security Incident beteiligten Personen mithilfe von Fragebogen automatisieren. Wenn Sie sich entscheiden, einen Fragebogen als Teil einer Überprüfung nach Incident zu verwenden, wird eine Liste von Fragen, die für den Security Incident relevant sind, an die anwenderdefinierte Liste der Teilnehmer gesendet. Wenn jeder Anwender den Fragebogen ausfüllt, wird der Bericht nach dem Incident automatisch generiert. Der Bericht fasst alle Informationen im Zusammenhang mit dem Security Incident sowie alle Antworten auf die Überprüfung nach dem Incident zusammen.

    Eine erste Liste von Fragen wird mit dem Basissystem bereitgestellt, sie können jedoch angepasst werden. Sie können Kategorien erstellen und ihnen neue Fragen hinzufügen oder einzelne Fragen innerhalb vorhandener Kategorien ändern. Sie können Fragen basierend auf Rollen stellen. Sie können definieren, wann bestimmte Fragen gestellt werden. Es können Fragen geben, die Sie nur für Ihre UNIX-Server stellen, z. B. oder nur, wenn kriminelle Aktivitäten vorliegen. Sie können Fragen definieren, die abhängig von der Antwort auf eine andere Frage oder dem Wert in einem Feld im Formular gestellt werden. Es kann sogar Fragen geben, die vollständig durch Abfragen der Datenbank ausgefüllt werden.

    Nachdem der Security Incident gelöst und in verschoben wurde Überprüfen status, Bewertungen werden für alle zugewiesenen Anwender und Anwender generiert, die direkt aus hinzugefügt werden Bewertungen anfordern Liste.

    Der Fragebogen kann ein hilfreiches Tool zum Sammeln von Informationen über die Behandlung des Security Incidents aus verschiedenen Quellen sein.

    Während der Überprüfung können Sie der Liste weitere Anwender hinzufügen oder vorhandene Anwender aus der Liste entfernen, es sei denn, sie haben bereits mit dem Ausfüllen des Fragebogens begonnen. Wenn Sie der Liste neue Anwender hinzufügen, erhalten sie die Fragen, wenn der Datensatz gespeichert wird. Der Security Incident kann erst geschlossen werden, wenn alle Fragebogen abgeschlossen wurden. Wenn Fragebogen von jedem Anwender ausgefüllt werden, wird der Bericht nach dem Incident automatisch generiert (und erneut generiert) und auf der angezeigt Überprüfung Nach Incident Registerkarte.

    So starten Sie eine Überprüfung nach dem Incident:

    Prozedur

    1. Erstellen Sie einen Security Incident , Oder öffnen Sie eine vorhandene, indem Sie zu navigieren Security Incident > Incidents > Mir zugewiesen (oder dem Team zugewiesen oder nicht zugewiesene Incidents)an.
    2. Klicken Sie auf Überprüfung Nach Incident Registerkarte.
    3. Die Bewertungen anfordern Das Feld ist standardmäßig auf die Person in festgelegt Zugewiesen an Feld.
      Klicken Sie auf das Sperrsymbol, um der Überprüfungsliste weitere Anwender hinzuzufügen. Nachdem das Feld entsperrt wurde, sind Optionen zum Hinzufügen oder Entfernen mehrerer Anwender, Rollen oder zum Eingeben von Anwender-E-Mail-Adressen verfügbar.
    4. Wenn Sie Ihre Einträge abgeschlossen haben, klicken Sie auf das Schlosssymbol, um das Feld zu sperren.
      Hinweis:
      Sie können auch Bedingungen definieren, die bei Erfüllung in einem Security Incident dazu führen können, dass bestimmte Anwender automatisch zu hinzugefügt werden Bewertungen anfordern Feld für diesen Security Incident. Beispiel: Wenn ein Security Incident ist Kategorie Wird in geändert Phishing , Bestimmte Personen, die über Fachkenntnisse in Phishing-Bedrohungen verfügen, können der Liste der Überprüfung nach Incident hinzugefügt werden. Weitere Informationen finden Sie unter Erstellen Sie PIR-Zuweisungsregeln.
    5. Klicken Sie auf Aktualisieren.
      Wenn der Incident in geht Überprüfen status (oder sofort, wenn er sich bereits im befindet Überprüfen status) erhält jeder der Anwender in der Überprüfungsliste einen ersten E-Mail-Benachrichtigung . Erinnerungen werden gesendet, wenn sich das Fälligkeitsdatum nähert. Wenn jeder Anwender über den E-Mail-Link oder über die Website auf den Fragebogen zugreift Überprüfung nach Incident > Meine ausstehenden Überprüfungen, Die angezeigten Fragen stammen aus allen Kategorien, die zu diesem Security Incident passen. Wenn neue Anwender der Überprüfungsliste hinzugefügt werden, bevor das Fälligkeitsdatum erreicht ist, werden ihnen Benachrichtigungen gesendet, wenn der Security Incident gespeichert wird.

      Wenn Anwender ihre Fragebogen ausfüllen, werden die Daten im Bericht nach dem Incident zusammengestellt und der Bericht in angezeigt Überprüfung Nach Incident Registerkarte. Die Fragebogendaten werden in angezeigt Ergebnisse Registerkarte.