Security Incident Response verstehen
Mit Security Incident Response(SIR) verwalten Sie den Lebenszyklus Ihrer Security Incidents von der ersten Analyse bis zur Eindämmung, Beseitigung und Wiederherstellung. Mit der Reaktion auf Security Incidents können Sie sich ein umfassendes Verständnis der von Ihren Analysten durchgeführten Verfahren zur Reaktion auf Incidents verschaffen und Trends und Engpässe bei diesen Verfahren mithilfe analytisch gesteuerter Dashboards und Berichterstellung verstehen.
Sehen Sie sich dieses neunminütige Video an, um mehr über den SIR-Prozess zu erfahren Security Incident ResponseDient zum Abwehr von Angriffen und zum Anzeigen von Sicherheitsaktivitäten in Security Incident ResponseExplorer.
Integrierte Integrationen mit Cybersicherheitslösungen von Drittanbietern und von Partnern entwickelten Integrationen von ServiceNowStore Aktivieren Sie die Sicherheitsautomatisierung und -Orchestration für eine effiziente und genaue Reaktion auf Incidents.
Informationsfluss zur Reaktion auf Security Incidents
Die Reaktion auf Security Incidents verwendet den folgenden Informationsfluss, von der Integration über die Untersuchung und dann bis zur Lösung und Überprüfung.
Discovery
- Aus dem Formular „Security Incident“
- Aus Ereignissen, die intern ausgelöst oder von externen Überwachungs- oder Schwachstellennachverfolgungssystemen über Warnungsregeln oder manuell erstellt werden
- Aus externen Überwachungs- oder Nachverfolgungssystemen
- Aus dem Servicekatalog
Analyse
Abhängig von der ausgewählten Ansicht, die Sie verwenden (Standard, nicht-IT-Sicherheit, Sicherheits-ITIL usw.) kann das Formular „Security Incidents“ eine beliebige Kombination von Schwachstellen, Incidents, Changes, Problemen, Aufgaben für das betroffene CI und die betroffenen CI-Gruppen anzeigen. Das System kann Malware, Viren und andere Schwachstellen identifizieren, indem es einen Querverweis auf die Datenbank des National Institute of Standards and Technology (NIST) oder andere Erkennungssoftware von Drittanbietern herstellt. Da Security Incidents gelöst werden, können Sie jeden Incident verwenden, um einen Security Knowledge Base-artikel zur zukünftigen Referenz zu erstellen.
Führen Sie eine weitere Analyse mithilfe einer Business-Service-Zuordnung durch, um andere betroffene Systeme oder Business-Services zu finden, die infiziert werden können.
Eindämmung, Beseitigung und Wiederherstellung
Während Sie Schwachstellen überwachen und analysieren, können Sie Aufgaben erstellen und anderen Abteilungen zuweisen. Sie können eine Business-Service-Zuordnung verwenden, um Aufgaben, Probleme oder Changes für alle betroffenen Systeme, Dokumente, Aktivitäten, SMS-Nachrichten, Bridge-Aufrufe zu erstellen, und so weiter.
Prüfung
- Führen Sie eine Besprechung durch, um den Incident zu besprechen und Antworten zu sammeln.
- Schreiben Sie eine Liste von Fragen zur Lösungsüberprüfung, die für jede Kategorie oder Priorität des Incidents entwickelt wurden, und verteilen Sie sie an die Teams, die an einem Incident gearbeitet haben.
- Incident-Manager können den Bericht selbst schreiben und Informationen sammeln.
- Eine Zusammenfassung dessen, was getan wurde
- Die Zeitlinie
- Der Typ des aufgetretenen Security Incidents
- Alle zugehörigen Incidents, Changes, Probleme, Aufgaben, CI-Gruppen
- Die Details der Lösung
Apps im Store anfordern
Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.
Terminologie Für Die Reaktion Auf Security Incidents
| Termin | Definition |
|---|---|
| Aktiv | Jeder Security Incident, der sich nicht im Status „Geschlossen“ oder „Abgebrochen“ befindet. |
| Administratorsperre | Die Fähigkeit zum Einschränken Security Incident ResponseZugriff auf Mitarbeiter mit sicherheitsbezogenen Rollen und ACLs. |
| Eingehende Sicherheitsanforderungen | Anforderungen, die für Sicherheitsanforderungen mit geringer Auswirkung übermittelt wurden, z. B. Anforderung eines neuen elektronischen Abzeichens. |
| Verwalten Sie Aktivitäten nach Incident | Eine Überprüfung der Herkunft und Behandlung eines Security Incidents. Das Endprodukt ist ein Bericht nach dem Incident, der alle durchgeführten Aktionen und die Gründe für ihre Ausführung dokumentiert. |
| Antwortaufgaben | Aufgaben, die einem Security Incident zugewiesen sind, um Aktionen als Reaktion auf die Bedrohung nachzuverfolgen. |
| Verstehen von Security Incident-Rechnern | Rechner, die zum Aktualisieren von Datensatzwerten verwendet werden, wenn vorkonfigurierte Bedingungen erfüllt sind. |
| Security Incident-Verzeichnisse | Diagrammtyp, der Security Incident-Daten hierarchisch in Form geschachtelter Rechtecke anzeigt. |
| Bedrohungssuche | Eine vom Security Incident-Katalog übermittelte Anforderung zum Scannen von Dateien, URLs und IP-Adressen auf Malware. |
| Schwachstellen-Scan | Eine vom Formular „Security Incident“ initiierte Anforderung zum Scannen betroffener Ressourcen (Server, Computer und andere Konfigurationselemente) auf Schwachstellen. |