Workflow Security Incident Response - Obtenir les services d’exécution

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Le workflow Security Incident Response - Obtenir les services d’exécution récupère une liste des services en cours d’exécution à partir d’éléments de configuration (CI) basés sur Windows. ServiceNow Ce workflow est utilisé pour l’enrichissement des incidents au cours des enquêtes.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le workflow Security Incident Response - Obtenir les services d’exécution s’exécute automatiquement lorsque vous ajoutez un nouvel élément de configuration à un incident de sécurité Windows après que l’état est passé à Analyse. Les informations obtenues par ce workflow apparaissent dans les onglets Afficher les données d’enrichissement pour l’incident de sécurité.

    Remarque :
    Si l’incident de sécurité reste à l’état Brouillon , le workflow Réponse aux incidents de sécurité - Obtenir les services d’exécution ne s’exécute pas.
    Les activités de workflow comprennent :
    Figure 1. Obtenir les services d'exécution
    Diagramme de workflow Security Incident Response - Get Running Services (Réponse aux incidents de sécurité - Obtenir les services d’exécution)

    Procédure

    1. Ouvrez un incident de sécurité.
    2. Mettez à jour l’état sur Analyse, si nécessaire.
    3. Ajoutez un élément de configuration Windows (serveur, ordinateur portable ou similaire).
    4. Cliquez sur Mettre à jour.
      Réponse aux incidents de sécurité fournit des informations sur les services d’exécution dans le Liens connexes > Enrichissements des incidents de sécuritéOnglet. Pour plus d'informations, consultez Security Operations Mappage des données d’enrichissement.