Workflow Security Incident Response - Get Running Services

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Le workflow Réponse aux incidents de sécurité - Obtenir des services d’exécution récupère une liste des services en cours d’exécution à partir des éléments de configuration (CI) basés sur Windows. ServiceNow Ce workflow est utilisé pour l’enrichissement des incidents au cours des enquêtes.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le workflow Réponse aux incidents de sécurité - Obtenir des services d’exécution s’exécute automatiquement lorsque vous ajoutez un nouvel élément de configuration à un incident de sécurité Windows après que l’état a changé en Analyse. Les informations obtenues par ce workflow apparaissent dans les onglets Afficher les données d’enrichissement pour l’incident de sécurité.

    Remarque :
    Si l’incident de sécurité reste à l’état Brouillon , le workflow Réponse aux incidents de sécurité - Obtenir des services d’exécution ne s’exécute pas.
    Les activités du workflow comprennent :
    Figure 1. Obtenir les services d'exécution
    Security Incident Response - Obtenir le diagramme de workflow Services d’exécution

    Procédure

    1. Ouvrez un incident de sécurité.
    2. Mettez à jour l’état sur Analyse, si nécessaire.
    3. Ajoutez un élément de configuration Windows (serveur, ordinateur portable ou similaire).
    4. Cliquez sur Mettre à jour.
      Réponse aux incidents de sécurité Fournit des informations sur les services d’exécution dans le Liens connexes > Enrichissements des incidents de sécuritéonglet. Pour plus d'informations, consultez Opérations de sécurité Mappage des données d’enrichissement.