Mit Security Incident Response installierte Komponenten
Mehrere Arten von Komponenten werden installiert, wenn Sie herunterladen und aktivieren Security Incident ResponseAnwendung, einschließlich Anwenderrollen, Tabellen, Eigenschaften und geplanten Aufgaben.
Hinweis:
In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.
Für diese Funktion sind Demodaten verfügbar.
Eigenschaften installiert
Anwender mit der Rolle „Systemadministrator“ [admin] können die Eigenschaften anzeigen. Anwender mit der Rolle „Sicherheitsadministrator“ [sn_si.admin] können sie ändern.
| Eigenschaft | Nutzung |
|---|---|
| Die Standardkategorieknoten, die auf der Registerkarte „Beziehungsdiagramm“ im Arbeitsbereich angezeigt werden. Die Standardwerte stellen die Tabellennamen dar, die den zugehörigen Datensätzen entsprechen. sn_si_aw.defaultCategories |
|
| Standardmäßige Startzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, im Format 08:00 sn_si.default.start.time |
|
| Standardmäßige Endzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, im Format 17:00 sn_si.default.end.time |
|
| Erkennbare Elemente vom Typ Ziel zusammen mit anderen erkennbaren Elementen vom Typ Kontext in die Security Incident-Anwender- und -CI-Beziehungen einschließen sn_si.link_dest_ip |
Bestimmt, ob ein erkennbares Security Incident mit dem Kontexttyp „Ziel“ unter angezeigt wird Konfigurationselemente Oder Betroffene Anwender Registerkarten. Standardmäßig werden erkennbare Elemente mit einem Zielkontexttyp ausgeschlossen. Wählen Sie „Ja“, um die erkennbaren Elemente einzubeziehen. |
| Lassen Sie Anpassungen zu, wenn Sie ein Problem oder eine Change-Anforderung aus einem Security Incident erstellen sn_si.Popup |
Wenn ein Problem oder Change erstellt wird, öffnet diese Eigenschaft ein Popup-Fenster zum Ändern der Anforderung. Wenn diese Eigenschaften auf festgelegt sind Falsch , Das Problem oder die Change-Anforderung hat die gleiche Priorität, Kurzbeschreibung und Beschreibung wie der Security Incident, ohne die Option zum Hinzufügen oder Bearbeiten dieser Felder.
|
| Ordnen Sie Sichtungssuchergebnisse CIs in der CMDB zu. sn_si.associate_ci_with_sighting_search |
Bei „wahr“ enthalten Sichtungssuchergebnisse zugeordnete Konfigurationselemente, die sich in Ihrer CMDB befinden.
|
| Risikopunktzahl im Bereich wird grün hervorgehoben und im Format 0-49 angegeben sn_si.risk.score.green |
In der Liste Security Incidents werden Security Incidents mit einer Risikopunktzahl zwischen 0 und 49 mit einem grünen Punkt markiert. |
| Die Risikopunktzahl im Bereich ist orange hervorgehoben und im Format 50-79 angegeben sn_si.risk.score.orange |
In der Liste Security Incidents werden Security Incidents mit einer Risikopunktzahl zwischen 50 und 79 mit einem orangefarbenen Punkt markiert. |
| Die Risikopunktzahl im Bereich ist rot hervorgehoben und hat das Format 80-100 sn_si.risk.score.red |
In der Liste Security Incidents werden Security Incidents mit einer Risikopunktzahl zwischen 80 und 100 mit einem roten Punkt markiert. |
| Dieser Parameter aktiviert oder deaktiviert Sichtungssuchkonfigurationen, die diese Funktion implementiert haben. sn_si.enable_sighting_search |
Bei „wahr“ können Sichtungssuchen für aktivierte Integrationen durchgeführt werden.
|
| Die Anzahl der Zeilen mit Rohdaten, die gespeichert werden, wenn eine Sichtungssuche durchgeführt wird. Bereich 0-100 sn_si.sighting_search_raw_data_rows |
Diese Eigenschaft ist standardmäßig auf 50 Zeilen mit Rohdaten festgelegt. Die Hälfte der Ergebniszeilen wird ab dem Beginn des Suchzeitrahmens und die Hälfte ab dem Ende des Suchzeitrahmens gemeldet. Wenn Sie also 50 Zeilen auswählen, stammen 25 vom Beginn des Suchzeitrahmens und 25 vom Ende des Suchzeitrahmens. |
| Incident-Status automatisch auf „Eindämmen“ erhöhen, wenn eine Antwortaufgabe auf „In Arbeit“ gesetzt wird sn_si.rollup_task_state |
Erwägen Sie bei der Verwendung von Flows oder Workflows, diese Eigenschaft auf festzulegen Falsch . Dadurch können Sie den Incident-Status aus Flows oder Workflows steuern. Es hilft auch, potenzielle Konflikte beim Übergang von einem Incident-Status in einen anderen zu vermeiden.
|
| Zuweisungseigenschaften für die Reaktion auf Security Incidents | |
| Standortgewichtung sn_si.location.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise der Standort für eine Aufgabe berücksichtigt wird, wird der Wert der Standortgewichtung der Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Gewichtung der Kompetenzen sn_si.Skills.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise Kompetenzen für eine Aufgabe berücksichtigt werden, wird der Wert der Kompetenzgewichtung der Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Legen Sie die maximale Anzahl von Sicherheitsanalysten fest, die jeweils durch automatische Zuweisung verarbeitet werden sollen sn_si.max.agents.processed |
Das System hat einen absoluten Grenzwert von 300 Sicherheitsanalysten. Wenn Sie mehr als 300 angeben, wird der Wert auf diese Ebene festgelegt. Das System kann keine Aufgabe für eine Versandgruppe automatisch senden, die mehr Sicherheitsanalysten enthält als der konfigurierte Wert.
|
| Gewichtung Zeitzone sn_si.timezone.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise die Zeitzone des Sicherheitsanalysten für eine Aufgabe berücksichtigt wird, wird der Wert für die Zeitzonengewichtung der Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Zeit (in Minuten), die zwischen dem Ende einer Aufgabe und dem Reisebeginn der nächsten hinzugefügt werden soll. sn_si.work.spacing |
Ein Beispiel für einen gültigen Zeitwert ist 10.
|
Angegebene Journalfelder mit Code Tags, die Inhalt als HTML rendern.sn_si.journal_field.html_enabled |
|
| Berechnen Sie die betroffenen Services im Hintergrund. sn_si.REFRESH_Impact.Event |
Die zugehörige Liste „Betroffene Services/Betroffene CIs“ wird durch Ereignisse generiert. Wenn diese Option aktiviert ist, wird die Aktualisierung im Hintergrund ausgeführt, und dem Incident werden Sicherheits-Tags hinzugefügt. Legen Sie den Wert auf fest Wahr Zum Ausführen des Vorgangs im Hintergrund.
|
| Ruft den kritischen Service aus vorberechneten Daten ab. sn_si.critical_service.calculator.use_cache |
Ermöglicht dem Rechner für kritische Services die Verwendung vorab berechneter Daten von Konfigurationselementen. Legen Sie den Wert auf fest Wahr Um aus vorab berechneten Daten zu suchen
|
Installierte Rollen
| Rollentitel [Name] | Beschreibung | Enthält Rollen |
|---|---|---|
| Security Incident-Administrator [sn_si.admin] |
Vollständige Kontrolle über alle Security Incident ResponseDaten. Verwaltet auch Gebiete und Kompetenzen nach Bedarf. Hinweis: Im Basissystem hat der Administrator auch Zugriff auf „sn_si.admin“. Security Incident ResponseKann vom Administrator beschränkt werden, solange mindestens einem anderen Anwender die Rolle „Sicherheitsadministrator“ zugewiesen ist. |
|
| Security Incident-Analyst [sn_si.Analyst] |
Verwalten Sie Security Incidents. Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Anwender mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Changes und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Security Incident – Standard [sn_si.Basic] |
Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Anwender mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Changes und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Chief Information Security Officer (CISO) [sn_si.ciso] |
Zeigen Sie das CISO-Dashboard an, und bearbeiten Sie es. Auch, wenn Vulnerability ResponsePlugin ist aktiviert. Anwender mit dieser Rolle können dem Dashboard Verzeichnisse der Definitionen der Schwachstellenbedeutung hinzufügen. Sie können dasselbe auch mit tun Security Incident ResponsePlugin. |
|
| Security Incident Extern [sn_si.extern] |
Zeigen Sie alle Security Incidents an, die zu ihrer bestimmten Gruppe gehören. Hinweis: Die folgenden beiden Regeln gelten durchgehend ServiceNowUnabhängig vom bereichsbezogenen Administrator oder der bereichsbezogenen App.
|
Service_Fulfiller |
| Security Incident-Integrationsanwender [sn_si.integration_user] |
Externe Tools können neue Security Incident-Datensätze bereitstellen und Security Incident-Datensätze aktualisieren. | Import_Transformer |
| Knowledge-Administrator Für Security Incidents [sn_si.Knowledge_admin] |
Verwalten, aktualisieren und löschen Sie die Informationen in der Security Incident Knowledge Base. |
|
| Security Incident-Manager [sn_si.Manager] |
Gleicher Zugriff wie Sicherheitsanalysten. |
|
| Security Incident Gelesen [sn_si.read] |
Lesen Sie Security Incidents. |
|
| Zugriffsmanager für Sicherheitsbeschränkungen [sn_si.restriction_access_manager] | Ermöglicht Anwendern oder Gruppen das Erzwingen von Einschränkungen für Security Incidents. Dies gilt nur für Feldänderungen. | k. A. |
| Spezieller Zugang Für Security Incidents sn_si.special_Access |
Bietet Anwendern außerhalb der Security Operations-Organisation Zugriff auf bestimmte Security Incidents. | k. A. |
| Aktivierer für speziellen Sicherheitszugriff [sn_si.special_access_enabler] | Stellt einem Anwender außerhalb der Security Operations-Organisation eine spezielle Zugriffsrolle für bestimmte Security Incidents bereit. | k. A. |
| Lesemanager für speziellen Zugriff für Security Incidents [sn_si.special_access_read_manager] | Verwalten Sie die Rolle „Spezialzugriff für Security Incidents“ [sn_si.special_Access]. Verwenden Sie diese Rolle, um zu ändern Lesezugriff Feld im Security Incident-Formular. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si.special_access_enabler |
| Manager des speziellen Zugriffs für Security Incidents [sn_si.special_access_write_manager] | Verwalten Sie die Rolle „Spezialzugriff für Security Incidents“ [sn_si.special_Access]. Verwenden Sie diese Rolle, um zu ändern Privilegierter Zugriff Feld im Security Incident-Formular. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si.special_access_enabler |
Installierte geplante Aufgaben
| Regelmäßige Aufgabe | Beschreibung |
|---|---|
| Suchen Sie Erkennbare Security Incident-Elemente | Führt eine Suche nach erkennbaren Elementen in einem anwenderdefinierten Zeitplan durch. |
Installierte Tabellen
| Tabelle | Beschreibung |
|---|---|
| Nachrichtenfeed-Konfiguration [sn_si_feed_configuration] |
Konfigurationsdatensätze, die zum Definieren des Inhalts verwendet werden, der im Security Incident-Nachrichtenfeed angezeigt wird. |
| Zuweisungsregel für die Überprüfung nach Incidents [sn_si_pir_condition] |
Automatisiert die Auswahl der Teilnehmer einer Umfrage zur Überprüfung nach Incidents, wenn ein Security Incident geschlossen wird. |
| Security Incident [sn_si_Incident] |
Speichert einen Security Incident, die Antworten auf den Incident, alle verknüpften Aufgaben, Changes, Probleme und Incidents im Zusammenhang mit diesem Security Incident. |
| Security Incident-Angriffsvektoren [sn_si_attack_vector] |
Angriffsvektoroptionen. |
| Audit-Protokoll für Security Incidents [sn_si_audit_log] |
Speichert Auditprotokolle zur Ergänzung von Security Incidents. |
| Security Incident-Rechner [sn_si_Rechner] |
Ein Rechner zum Festlegen bestimmter Security Incident-Felder, wenn bestimmte Bedingungen erfüllt sind. |
| Security Incident-Rechnergruppe [sn_si_calculator_group] |
Eine Gruppierung von Security Incident-Rechnern. Die Reihenfolge der Rechnergruppe bestimmt, welche Gruppe zuerst ausgewertet wird, und in jeder Gruppe wird höchstens ein Rechner verwendet. |
| Firewall Zur Anreicherung Von Security Incidents [sn_si_enrichment_firewall] |
Erstreckt sich aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle Ergänzungsdatensätze, die für die Palo Alto Networks-Firewall spezifisch sind. |
| Malware-Ergebnisse Der Anreicherung Von Security Incidents [sn_si_enrichment_malware] |
Erstreckt sich aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle für Malware spezifischen Ergänzungsdatensätze. |
| Netzwerkstatistiken Zur Anreicherung Von Security Incidents [sn_si_enrichment_network_statistics] |
Erstreckt sich aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle Ergänzungsdatensätze, die für Netzwerkstatistiken spezifisch sind. |
| Anreicherung Von Security Incidents – Laufende Prozesse [sn_si_enrichment_running _processes] |
Erstreckt sich aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle Ergänzungsdatensätze, die für laufende Prozesse spezifisch sind. |
| Anreicherung Von Security Incidents – Laufende Services [sn_si_enrichment_running_service] |
Erstreckt sich aus der Basistabelle (sn_sec_cmn_enrichment_data_base) und enthält alle Ergänzungsdatensätze, die für laufende Services spezifisch sind. |
| E-Mail-Suche für Security Incidents [sn_si_m2m_incident_email_search] |
Ordnet E-Mail-Suchdatensätze Security Incidents zu. |
| Security Incident-Import [sn_si_incident_import] |
Tabelle für Security Incidents importieren. Wird verwendet, um Security Incidents aus externen Systemen zu erstellen. |
| Prozessdefinition für Security Incidents [sn_si_process_definition] |
Speichert die Konfiguration für Security Incident-Prozess-Flows. |
| Prozessdefinitionsauswahl für Security Incidents [sn_si_process_definition_selector] |
Speichert die Prozessdefinition für Security Incidents, die für Security Incidents verwendet werden soll. |
| Mit Security Incident verbundener Kundenservicefall [sn_si_m2m_incident_customerservice_case] |
Ordnet Kundenservicefälle und Security Incidents zu |
| Mit Security Incident verbundene Ergänzungsdaten [sn_si_m2m_incident_enrichment] |
Ordnet Security Incidents und zugehörige Ergänzungsdatensätze zu. |
| Security Incident Response Aufgabe [sn_si_Task] |
Verwaltet Teilaufgaben im Zusammenhang mit der Behandlung eines Security Incidents. Diese Aufgaben können Sicherheitspersonal oder Personen in anderen Abteilungen zugewiesen werden, um abteilungsübergreifende Kommunikation und Aufgabennachverfolgung zu verwalten. |
| Security Incident Response Aufgabenvorlage [sn_si_task_template] |
Wird zum Erstellen von verwendet Security Incident ResponseAufgabe. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um automatisch einen Satz geeigneter Teilaufgaben für einen bestimmten Typ von Security Incident zu erstellen. |
| Runbook-Dokument Für Security Incidents [sn_si_runbook_document] |
Ordnet Security Incident-Bedingungen oder -Filter einem wissensartikel zu. Wird verwendet, um Runbook-Verfahren für die Korrektur von Security Incidents anzugeben. |
| Vorlage für Security Incidents [sn_si_incident_template] |
Wird zum Erstellen eines Security Incidents verwendet. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um einen vorgefertigten Security Incident zu erstellen. |
| Sicherheitsanfrage [sn_si_Request] |
Eine sicherheitsbezogene Anforderung an das Sicherheitsteam. |
| Anforderung für Sicherheitsprüfung [sn_si_scan_request] |
Eine Anforderung für eine Bedrohungssuche. |
| Schweregradrechner sn_si_severity_calculator |
Definiert den Schweregrad, die Auswirkung, das Risiko und die Relevanzwerte für einen Security Incident. |
| Von Aufgabe betroffener Anwender [sn_si_m2m_task_affected_user] |
Eine viele-zu-viele-Tabelle, die Security Incidents betroffenen Anwendern zuordnet. |
| Vorlagen-Workflow-Aktivität – Ergebnisauswertung [sn_si_wf_activity_outcome_evaluator] |
Ordnet eine Fähigkeit einem Evaluierungsskript zu. Ein neuer Subflow kann einem Vorlagen-Workflow hinzugefügt werden, um ein Ergebnis einer Antwortaufgabe festzulegen, anstatt es manuell von einem Analysten festzulegen. |