Referenz des Setup-Assistenten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 25 Minuten Lesedauer

    • Der Setup-Assistent führt Sie durch die Schritte, die Sie zum Einrichten von ausführen müssen Security Incident ResponseBasissystem. Dieser Abschnitt enthält zusätzliche Informationen zu den komplizierten Schritten, für die Sie möglicherweise weitere Erklärungen benötigen.

    Erstellen Sie ein Security Incident ResponseProzessdefinition

    Sie können eine Prozessdefinition erstellen, um zu definieren, wie Security Incidents von einem Status in den nächsten übergehen. Prozessdefinitionen geben Service Desks und Endanwendern die Möglichkeit, das Problem während seines gesamten Lebenszyklus nachzuverfolgen.

    Vorbereitungen

    Erforderliche Rolle: sn.si_admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Prozessdefinitionan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 1. Prozessdefinitionen werden erstellt
      Feld Beschreibung
      Name Name des Datensatzes, der den in der Skripteinbindungsdatei codierten Prozess beschreibt. Der Name wird als Auswahl in angezeigt Prozessdefinitionsauswahl Liste.
      Skripteinbindung Der Name (einschließlich sn_si . Präfix) der Skripteinbindung, die die Definition des Prozesses enthält. Das Skript muss sich im Security Incident ( sn_si ) Anwendungsbereich. Weitere Informationen finden Sie unter Erstellen Sie einen anwenderdefinierten Security Incident ResponseSkripteinbindung für Prozessdefinition. Wenn dieses Feld keinen gültigen Skripteinbindungsnamen enthält, wird die standardmäßige Definition „ProcessDefinition_NIST_Stateful“ verwendet.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Bestellung Bestimmt die Position in der Prozessdefinitionsliste.
      Aktiv Wenn diese Option aktiviert ist, kann diese Prozessdefinition über ausgewählt werden Prozessdefinitionsauswahl Seite.
    4. Klicken Sie auf Absenden.

    Verständnis der Prozessdefinition für die Reaktion auf Security Incidents

    Security Incident Response Prozessdefinition Ersetzt Status-Flows und stellt Endanwendern und Service Desks den Status eines Problems zur Verfügung. Eine Prozessdefinition hilft, das Problem während seines Lebenszyklus nachzuverfolgen. Security Incident ResponseIst eine Service Management-Anwendung (SM), die über einen eigenen Satz von status verfügt. Ungültige status werden als Teil von gemeldet Prozessauswahl.

    Prozessdefinition Für Die Reaktion Auf Security Incidents

    Die standardmäßige Prozessdefinition (NIST Stateful) definiert die folgenden Incident-status:
    Hinweis:
    Verfügbare status variieren je nach aktuellem Status des Incidents.
    Tabelle : 2. status der Prozessdefinition für Security Incidents
    Status Beschreibung
    Entwurf Der Anforderungsinitiator fügt Informationen zum Security Incident hinzu, kann jedoch noch nicht bearbeitet werden.
    Analyse Der Incident wurde zugewiesen, und das Problem wird analysiert.
    Beinhalten Das Problem wurde identifiziert, und das Sicherheitspersonal arbeitet daran, es einzudämmen und die Schadenskontrolle durchzuführen. Diese Aktionen können umfassen, dass Server offline geschaltet werden, Geräte vom Internet getrennt werden und überprüft wird, ob Sicherungen vorhanden sind.
    Beseitigen Das Problem wurde eingedämmt, und das Sicherheitspersonal ergreift Schritte, um das Problem zu beheben.
    Wiederherstellen Das Problem wurde gelöst, und die Betriebsbereitschaft der betroffenen Systeme wird überprüft.
    Prüfung Der Security Incident ist abgeschlossen, und alle Systeme funktionieren wieder normal. Eine Überprüfung nach dem Incident ist jedoch weiterhin erforderlich.
    Geschlossen Der Incident ist abgeschlossen, aber bevor ein Security Incident geschlossen werden kann, müssen Sie die Informationen auf eingeben Abschlussinformationen Registerkarte.

    Prozessdefinitionen für Security Incident-Aufgaben

    Die folgenden Prozessdefinitionen werden für Security Incident-Aufgaben verwendet.

    Tabelle : 3. definitionsstatus des Aufgabenprozesses
    Status Beschreibung
    Bereit Die Aufgabe kann bearbeitet werden, nachdem sie einem Service Desk-Mitarbeiter zugewiesen wurde.
    Zugewiesen Die Aufgabe ist einem Service Desk-Mitarbeiter zugewiesen.
    In Bearbeitung Der zugewiesene Service Desk-Mitarbeiter arbeitet an der Aufgabe.
    Abgeschlossen Die Aufgabe ist abgeschlossen.
    Abgebrochen Die Aufgabe wurde abgebrochen.

    NIST unterstützt die folgenden beiden Modelle:

    • NIST Stateful

      Mit dieser Prozessdefinition können Analysten sequenziell von einem Status in einen anderen wechseln, ohne einen Schritt zu überspringen. Beispiel: Wenn der Analyst mit beginnt Entwurf status, dann ist die sequenzielle Reihenfolge dieser Prozessdefinition Entwurf > Analyse > Enthalten > Beseitigen > Wiederherstellen . Daher ist die Prozessdefinition „Stateful“ für NIST unidirektional und ermöglicht es Analysten nur, nur in den status „Forward“ zu gelangen.

      Hier ist ein weiteres Beispiel: Wenn der Analyst mit dem Analysestatus beginnt, ist die sequenzielle Reihenfolge dieser Prozessdefinition Analyse > Enthalten > Beseitigen > Wiederherstellen .

    • NIST offen

      Mit dieser Prozessdefinition können Analysten von einem Status in einen anderen wechseln, entweder vorwärts oder rückwärts. Beispiel: Wenn der Analyst mit beginnt Analyse status, dann kann die Reihenfolge der Prozessdefinition entweder sein Analyse > Enthalten > Beseitigen > Wiederherstellen Oder Analyse > Entwurf . Daher ist die Prozessdefinition „NIST offen“ bidirektional und ermöglicht es Analysten, je nach ihren Anforderungen in den Vorwärts- oder rückwärtsstatus zu wechseln.

    Auswahl Des Prozesses Für Die Reaktion Auf Security Incidents

    Security Incident Response Prozessauswahl listet Prozesse mit ungültigen status für Security Incidents und Antwortaufgaben auf.

    Ein Administrator kann den Incident oder die Aufgabe manuell oder mithilfe eines Skripts in gültige status korrigieren. Eine leere zugehörige Liste (keine Incidents, keine Aufgaben) gibt an, dass sich jede aktive Aufgabe in einem gültigen Status befindet. Verfügbare status variieren je nach aktuellem Status des Incidents. Weitere Informationen finden Sie unter Korrigieren Sie einen ungültigen Security Incident oder Aufgabenstatus mit der Prozessdefinition.

    Wählen Sie ein aus Security Incident ResponseProzessdefinition

    Sie können die Prozessdefinition auswählen, die für die entsprechenden status für Security Incidents und Antwortaufgaben Ihres Unternehmens verwendet werden soll.

    Vorbereitungen
    Erforderliche Rolle: administrator und sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Prozedur
    1. Navigieren zu Alle > Security Incident Response > Administration > Prozessauswahlan.
    2. Klicken Sie auf das Suchsymbol, um die verfügbaren Prozessdefinitionen aufzulisten.
      Prozessdefinitionsauswahl
    3. Wählen Sie eine Prozessdefinition aus.
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie einen anwenderdefinierten Security Incident ResponseSkripteinbindung für Prozessdefinition

    Erstellen Sie ein anwenderdefiniertes Prozessdefinitionsskript für die entsprechenden status für Security Incidents und Antwortaufgaben Ihres Unternehmens.

    Vorbereitungen
    Erforderliche Rolle: sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Das Hauptskript „sn_si.ProcessDefinition“ enthält Prozessdefinitionen für Steuerungen. Prozessdefinition Bestimmt, welche Definition verwendet wird (mit Prozessauswahl ). Ruft die entsprechende Skripteinbindungsdatei auf, um die anfangsstatus und Übergänge für Security Incidents und Antwortaufgaben zu bestimmen.
    Prozedur
    1. Navigieren zu Alle > Systemdefinition > Skripteinbindungenan.
    2. Klicken Sie Auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 4. Prozessdefinitionen werden erstellt
      Feld Beschreibung
      Name Name dieser Skripteinbindung.
      API-Name Erstellt basierend auf dem Namen der Skripteinbindung.
      Vom Client aufrufbar Macht die Skripteinbindung für Client-Skripts, Listen- und Berichtsfilter, Referenzqualifizierer oder verfügbar , Wenn angegeben , Als Teil der URL.
      Anwendung Security Incident
      Zugänglich von Wählen Sie Aus Nur dieser Anwendungsbereich .
      Aktiv Wenn diese Option aktiviert ist, kann diese Skripteinbindung aus ausgewählt werden Prozessdefinition Seite.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Skript Definiert das serverseitige Skript, das ausgeführt werden soll, wenn es von anderen Skripts aufgerufen wird.

      Das Skript muss eine einzelne JavaScript-Klasse oder eine globale Funktion definieren. Der Klassen- oder Funktionsname muss mit dem Namensfeld übereinstimmen.

      Informationen zu Skriptinhalten finden Sie unter Skripteinbindung für Prozessdefinition.
      Formular „Skripteinbindung für Prozessdefinition“
    4. Klicken Sie auf Absenden.
    Skripteinbindung für Prozessdefinition

    Die Skripteinbindung „Prozessdefinition“ bietet Methoden zum Definieren einer Prozessdefinition.

    Implementieren Sie die hier beschriebenen Konstanten, Attribute, Arrays und Methodenaufrufe, um eine Skripteinbindung für Prozessdefinitionen anzupassen.

    Verwendungsort

    Verwenden Sie diese Skripteinbindung, um eine Prozessdefinition zu erstellen.

    Skripteinbindungstext
    Der Text der Skripteinbindung besteht aus drei Abschnitten:
    • Konstanten: Definitionen des Anfangsstatus
    • Security Incidents und Antwortaufgabe: Prozessdefinitionsarrays
    • Methodenaufrufe: Informationen werden abgerufen
    Konstanten

    Konstanten werden verwendet, um die anfangsstatus von Security Incidents und Antwortaufgaben zu definieren.

    Die Verwendung von Konstanten ist optional, wird jedoch aus Gründen der Lesbarkeit empfohlen. Zum Beispiel:
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Die später von den folgenden Methoden verwendet werden:

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    Der nächste Satz von Konstanten definiert die status für Security Incidents und Antwortaufgaben.

    Jedes Array enthält auch die Definition, welche status verfügbar sind, wenn sich der Incident oder die Aufgabe in einem bestimmten Status befindet.

    Zum Beispiel:
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    Das Beispiel ist ein Array von Objekten. Jedes Objekt definiert einen Status und mögliche übergangsstatus.

    Die Reihenfolge des Statusobjekts bestimmt die gewünschte Reihenfolge für den Flow.

    Wenn sich die Aufgabe im Status „Entwurf“ (Wert 1) befindet, sind folgende status möglich: 1 (Entwurf, was keine Änderung ist) und 10 (bereit, der nächste Schritt im Prozess).

    Es gibt keine Beschränkung für die Anzahl der Übergänge aus einem Status. Die Status „Abgeschlossen“ und „Abgebrochen“ sind endgültige status und haben daher keine möglichen Statusübergänge.

    Die Reihenfolge der Attribute im Objekt ist nicht wichtig. Wenn die Definition klarer wird, setzen Sie zuerst die Bezeichnung.

    Attribute
    Erforderliche Attribute in einem Statusdefinitionsobjekt sind:
    • status: Numerischer Wert des Status
    • Bezeichnung: Visuell lesbarer Text, der dem Status zugeordnet ist
    • Auswahl: Ein Array von Statuswerten, in die der Status übergehen kann (bestimmt den Inhalt der Dropdown-Liste „Status“)
    Optionale Attribute sind:
    • Obligatorisch: Liste der Feld-IDs, die in diesem Status obligatorisch werden
    • Schreibgeschützt: Liste der Feld-IDs, die in diesem Status schreibgeschützt werden
    • Sichtbar: Liste der Feld-IDs, die in diesem Status sichtbar werden
    • Nicht obligatorisch: Liste der Feld-IDs, die in diesem Status nicht obligatorisch werden
    • Nicht sichtbar: Liste der Feld-IDs, die in diesem Status nicht mehr sichtbar wären
    Hinweis:

    Wenn optionale Attribute verwendet werden, liegt es in der Verantwortung des Autors sicherzustellen, dass Felder zwischen status sichtbar/unsichtbar, obligatorisch/nicht obligatorisch, sichtbar/ausgeblendet oder schreibgeschützt werden.

    Wenn Sie beispielsweise ein Feld in einem Status ausblenden, wird es später nicht in einem anderen Status sichtbar, es sei denn, das Attribut „sichtbar“ wird verwendet.

    Prozessflow-Definitions-Arrays

    Um die Informationen zu definieren, die im Prozess-Flow-Formatierer (der Balken oben in den Formularen „Security Incidents“ und „Antwortaufgabe“) angezeigt werden, benötigt das System Informationen darüber, was für jeden Status angezeigt werden soll.

    Zum Beispiel:
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Das Array „TASK_PF“ ist eine Sammlung von Bezeichnungen, Bedingungen und Beschreibungen, die verwendet werden, um den in der Prozessformatierer-Leiste angezeigten Text zu bestimmen (einschließlich Reihenfolge und Aktivität).

    Im Beispiel ist der Text „bereit“ das zweite angezeigte Element. Sie wird hervorgehoben, wenn die Aufgabe die Bedingung „State=10^EQ“ erfüllt.

    Wenn der Zeiger auf den Text zeigt, wird die Beschreibung „Aufgabe zur Reaktion auf Security Incidents ist bereit für Zuweisung“ angezeigt.

    Hinweis:

    Status können zu einem einzelnen Formatierer-Status kombiniert werden.

    Im Beispiel werden sowohl der status „Abgeschlossen“ als auch der status „Abgebrochen“ in der oberen Leiste als „Geschlossen“ angezeigt.

    Methodenaufrufe
    Die folgenden Methoden müssen in der Skripteinbindung vorhanden sein, da sie von sn_si.ProcessDefinition verwendet werden:
    Rückgabetyp Methodenzusammenfassung Beschreibung
    Zeichenfolge GetInitialIncidentState: Funktion() Gibt den numerischen Wert des anfänglichen Incident-Status zurück
    Zeichenfolge GetInitialTaskState: Funktion(): Geben Sie den numerischen Wert des ersten Aufgabenstatus zurück
    Array von Zeichenfolge GetIncidentStates: Funktion(): Gibt das Array des Incident-Status zurück
    Array von Zeichenfolge GetTaskStates: Funktion(): Gibt das Array des Aufgabenstatus zurück
    Array von Objekten GetIncidentProcessFlows: Funktion(): Gibt das Array der Incident-Prozess-Flow-Definition zurück
    Array von Objekten GetTaskProcessFlows: Funktion(): Gibt das Definitions-Array für den Aufgabenprozess zurück

    Der nächste Satz von Methoden wird immer aufgerufen, wenn ein Incident oder eine Aufgabe aktualisiert wird, und ermöglicht das Ausführen von Aktionen für bestimmte Change-Übergänge.

    Rückgabetyp Methodenzusammenfassung Beschreibung
    Ungültig PerformIncidentStateChange: Funktion (aktuell, zurück) In den Beispielen wird diese Methode verwendet, um SM-bezogene Werte festzulegen und sicherzustellen, dass ein Incident von „Entwurf“ entfernt wird, sobald ihm jemand zugewiesen wurde.
    Ungültig PerformTaskStateChange: Funktion (aktuell, zurück) Im Beispiel wird diese Methode verwendet, um Zeitstempel (bei Zuweisung und Schließung) zu aktualisieren und die Aufgabe von „bereit“ zu „zugewiesen“ zu ändern, sobald das Feld „assigned_to“ ausgefüllt ist.
    Die gleichen Aktionen, die mit diesen beiden Methoden ausgeführt werden, können mit einer Business-Regel ausgeführt werden. Durch die Definition in der Skripteinbindung wird das Wechseln von Prozessdefinitionen erleichtert.

    Korrigieren Sie einen ungültigen Security Incident oder Aufgabenstatus mit der Prozessdefinition

    Ein Administrator kann den Security Incident oder die Aufgabe manuell oder mithilfe eines Skripts in einen gültigen status korrigieren. Verfügbare status variieren je nach aktuellem Status des Incidents.

    Vorbereitungen
    Erforderliche Rolle: Administrator
    Warum und wann dieser Vorgang ausgeführt wird
    Nachdem Sie Prozessdefinitionen gewechselt haben, unterstützt die neue Definition möglicherweise einige der alten status nicht. Sie können den status des verwaisten Incidents oder der Aufgabe korrigieren Ändern Sie Ihre Prozessdefinition , Bearbeiten Sie Ihre Skripteinbindung , Oder öffnen Sie jeden Incident oder jede Aufgabe manuell, um den Status zu aktualisieren. Im Allgemeinen ist das Aktualisieren des Status (kann in einem Massenvorgang durchgeführt werden) die einfachste Lösung.

    Gehen Sie folgendermaßen vor, um status in einem Massenvorgang zu ändern:

    Prozedur
    1. Navigieren zu Alle > Prozessauswahlan.
    2. Heben Sie hervor Status Feld für die Incidents oder Aufgaben, die Sie ändern möchten.
    3. Doppelt- Klicken Sie auf Status Wählen Sie im ersten Datensatz das neue aus Status, Und klicken Sie auf das grüne Häkchen ( Grünes Häkchen), um den Change abzuschließen.
      Beispiel für korrigierte Definition
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Security Incident-Gruppe

    Richten Sie eine Security Incident-Gruppe ein, und weisen Sie der Gruppe die entsprechenden Rollen und Anwender zu.

    Vorbereitungen

    Erforderliche Rollen:
    • Wenn Sie über die Rolle user_admin verfügen, können Sie Security Incident-Zuweisungsgruppen erstellen.
    • Wenn Sie über die Rolle „sn_si.admin“ verfügen, können Sie Security Incident-Zuweisungsgruppen erstellen und bearbeiten.

    Warum und wann dieser Vorgang ausgeführt wird

    Anwender in einer Gruppe erben die Rollen der Gruppe, daher müssen Sie nicht jedem Anwender Rollen separat zuweisen.

    Es ist empfehlenswert, in Ihrer Organisation beliebig viele Gruppen zu erstellen. Es ist auch eine gute Praxis, eine Gruppe für Administratoren zu erstellen und nur dieser Gruppe die Administratorrolle zuzuweisen.

    Prozedur

    1. Navigieren zu Alle > Anwenderadministration > Gruppen oder Security Incident > Einrichtung > Gruppenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Hinweis:

      Weitere Informationen finden Sie unter Erstellen Sie eine Anwendergruppe .

    4. Stellen Sie sicher, dass Sie auswählen Security Incident Typ für diese Gruppe.
      1. Wenn Typ Feld ist nicht sichtbar. Konfigurieren Sie das Formular, um es hinzuzufügen.
      2. Klicken Sie auf das Schlosssymbol neben Typ Feld.
      3. Klicken Sie auf das Referenzsuchsymbol ( Suchsymbol)
      4. Suchen Sie nach, und wählen Sie aus Security Incident Typ.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
    6. In Rollen Zugehörige Liste: Fügen Sie die Rollen hinzu, die jedes Mitglied dieser Gruppe erhält.
      Beispiel: Wenn Sie eine Gruppe für erstellen Security Incident ResponseTeammitglieder, fügen Sie „sn_si.Analyst“ hinzu. Wenn Sie eine Gruppe für erstellen Security Incident ResponseAdministratoren, fügen Sie „sn_si.admin“ hinzu.
    7. In Gruppenmitglieder Zugehörige Liste: Fügen Sie dieser Gruppe Anwender hinzu.
    8. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Security Incident-Rechnergruppe

    Security Incident-Rechnergruppen werden zum Gruppieren von Rechnern verwendet.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Einrichtung > Security Incident-Rechnergruppenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder im Formular nach Bedarf aus.
      Feld Beschreibung
      Name Der Name des Security Incident-Rechners.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Bestellung Die Reihenfolge, in der der Security Incident-Rechner ausgeführt wird. Ein Rechner mit einer Auftragseingabe von 100 wird vor einem Rechner mit einer Auftragseingabe von 200 ausgeführt.
      Beschreibung Eine Beschreibung dieser Rechnergruppe.
      Erstellt von Geben Sie den Namen des Anwenders ein, der erstellt hat
    4. Klicken Sie auf Absenden.

    Erstellen Sie einen Security Incident-Rechner

    Mit Security Incident-Rechnern können Sie den Schweregrad eines Security Incidents basierend auf vordefinierten Formeln berechnen. Sie können nach Bedarf eigene Security Incident-Rechner definieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Einrichtung > Security Incident-Rechnergruppenan.
    2. Klicken Sie auf den Namen der Gruppe, für die Sie einen Rechner erstellen möchten, oder Sie können es Erstellen Sie eine Rechnergruppe .
    3. Klicken Sie auf Neu.
    4. Füllen Sie die Felder im Formular nach Bedarf aus.
      Feld Beschreibung
      Name Der Name des Security Incident-Rechners.
      Rechnergruppe Name der Gruppe, zu der dieser Rechner gehört.
      Hinweis:
      Das Erstellen oder Ändern der Rechnergruppe wird verfügbar, nachdem Sie eine eingegeben haben Name Und Tabelle .
      Tabelle

      Wählen Sie die Tabelle aus, die für diesen Rechner verwendet werden soll.

      Wenn Sie Rechner zu anderen Tabellen als „Schwachstelle“ [sn_vul_Vulnerability] und „Angreifbares Element [sn_vul_vulnerable_item]“ hinzufügen, müssen Sie diesen Tabellen Business-Regeln und UI-Aktionen hinzufügen. So zeigen Sie Beispiele an:
      • Navigieren zu Systemdefinition > Business-Regeln, Und suchen Sie Schweregrad Berechnen Business-Regel in der Tabelle „angreifbares Element“ [sn_vul_vulnerable_item].
      • Navigieren zu System-UI > UI-Aktionen, Und suchen Sie Schweregrad Berechnen UI-Aktion für die Tabelle „angreifbares Element“ [sn_vul_vulnerable_item].

      Außerdem muss der Schwachstellen-Administratorrolle vollständige Lese-, Schreib- (oder Save_as_template)-Fähigkeiten für jede von einem Rechner verwendete Tabelle gewährt werden, um die Werte, die auf die Vorlage angewendet werden sollen, ordnungsgemäß anzuzeigen.
      Anwendung Die bereichsbezogene Anwendung, zu der der Rechner gehört.
      Bestellung Die Reihenfolge, in der der Security Incident-Rechner ausgeführt wird. Ein Rechner mit einer Auftragseingabe von 100 wird vor einem Rechner mit einer Auftragseingabe von 200 ausgeführt.
      Aktiv Aktivieren oder deaktivieren Sie den Rechner.
      Beschreibung Eine Beschreibung dieses Rechners.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Die Bedingungen Und Anzuwendende Werte Registerkarten werden angezeigt.
    6. Füllen Sie die Felder in aus Bedingungen Registerkarte, je nach Bedarf.
      Feld Beschreibung
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine vordefinierte Filtergruppe oder zu verwenden Erstellen Sie eine neue Filtergruppe Zum Definieren der Rechnerkriterien.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Rechners verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn Sie ausgewählt haben Verwenden Sie Filtergruppen Kontrollkästchen.
      Erweiterte Bedingung verwenden Aktivieren Sie dieses Kontrollkästchen, um anzugeben, dass eine Skriptbedingung verwendet wird, um zu bestimmen, wann dieser Rechner angewendet wird. Wenn Sie das Kontrollkästchen aktivieren, wird ein Erweiterte Bedingung Skripting-Feld wird angezeigt.

      Wenn Sie ausgewählt haben Filtergruppe verwenden Kontrollkästchen, dieses Feld ist ausgeblendet.

      Hinweis:
      Bevor Sie erweiterte Bedingungen definieren und Skripts schreiben, um zu bestimmen, wann die Security Incident-Rechner angewendet werden, kehren Sie zur Liste Security Incident-Rechner zurück. Erkunden Sie die Rechnerdatensätze, die mit dem Basissystem geliefert werden.
      Bedingung Definiert grundlegende Filterbedingungen, um zu bestimmen, ob der Rechner verwendet wird.

      Wenn Sie eine der Optionen ausgewählt haben Filtergruppe verwenden Oder Erweiterte Bedingungen verwenden Kontrollkästchen: Dieses Feld ist ausgeblendet.
    7. Klicken Sie auf Anzuwendende Werte Registerkarte und füllen Sie die Felder im Formular nach Bedarf aus.
      Sie können ein Skript zum Definieren der Werte erstellen, die auf die Berechnung angewendet werden sollen, oder eine Vorlage basierend auf Feldern in der ausgewählten Tabelle definieren.
      Feld Beschreibung
      Skriptwerte verwenden Aktivieren Sie dieses Kontrollkästchen, um Feldwerte mit einem Skript zu definieren.
      Skriptwerte Definiert, auf welche Werte die Berechnungen angewendet werden sollen.

      Dieses Feld wird nur angezeigt, wenn Sie ausgewählt haben Verwenden Sie Skriptwerte Kontrollkästchen.
      Vorlage Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern. Wählen Sie die Felder und Werte aus, die Sie für den Rechner verwenden möchten.
    8. Wenn Sie alle Einträge abgeschlossen haben, klicken Sie auf Übermitteln .

    Verstehen von Security Incident-Rechnern

    Security Incident-Rechner werden verwendet, um Datensatzwerte zu aktualisieren, wenn vordefinierte Bedingungen erfüllt sind. Die Rechner werden basierend auf den Kriterien gruppiert, die verwendet werden, um zu bestimmen, wie die Datensätze aktualisiert werden.

    Die Security Incident ResponseDas Basissystem enthält die folgenden Security Incident-Rechnergruppen und -Rechner. In jeder Gruppe wird der erste Rechner ausgeführt, der den Bedingungen entspricht.

    Tabelle : 5. Security Incident-Rechner im Basissystem
    Gruppenname Des Security Incident-Rechners In Gruppe enthaltene Rechner Beschreibung
    Geschäftsauswirkung Aus Schweregradrechnern zusammenfassen Dieser Rechner delegiert an den Sicherheitsrelevanzrechner, der die Relevanz durch Gewichtung der Werte anderer Felder bestimmt.
    Schweregrad Geschäft betroffen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.
    Wichtiger Service betroffen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn das Konfigurationselement im Security Incident einem äußerst kritischen Business-Service zugeordnet ist, wird Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder werden wie vom Rechner definiert erhöht.
    Kritische Serviceänderungen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn der Security Incident die Bedingungen erfüllt, wird ein Skript ausgeführt, um zu definieren, auf welche Ebenen die Felder erweitert werden. Wenn das Konfigurationselement im Security Incident einem kritischsten oder etwas kritischen Business-Service zugeordnet ist, wird Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder werden wie vom Rechner definiert erhöht.
    Mehrere Angriffsvektoren Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Wenn das Konfigurationselement im Security Incident Web-, E-Mail- und Identitätswechsel-Angriffsvektoren zugeordnet ist Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder werden wie vom Rechner definiert erhöht.
    Priorität mit Kategorie und Services festlegen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Priorität des Security Incidents ist auf festgelegt 1: Kritisch Wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, und einer davon ist kritisch.
    • Die Kategorie „Security Incident“ ist eine der folgenden Kategorien:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie über die Preisstufe „Startersicherheitsvorgang“ verfügen.
    Priorität für erkennbare Elemente festlegen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Priorität des Security Incidents ist auf festgelegt 1: Kritisch Wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, und einer davon ist kritisch.
    • Die Kategorie „Security Incident“ ist eine der folgenden Kategorien:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    • Eines der zugeordneten erkennbaren Elemente oder Indikatoren hat eine Sichtungsanzahl, die zwei Sichtungen mit aktiven Indikatoren überschreitet (d. h. die erkennbaren Elemente oder Indikatoren werden aus mehreren Quellen als schlecht bestätigt).
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie über die Preisstufe „Erweiterter Sicherheitsvorgang“ verfügen und das Plugin „Bedrohungsfeeds“ aktivieren.
    Anwenderrelevanz Anwenderrelevanz abrufen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Dieser Schweregradrechner führt dazu, dass sich die Geschäftsrelevanz des Anwenders in ändert 1: Kritisch Wenn Abteilung Feld wird in geändert Finanzen .
    Anwendergruppenrelevanz abrufen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.

    Dieser Schweregradrechner bietet ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird.

    Schweregradrechner

    Wenn Sie einen Security Incident erstellen, wird Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder enthalten Standardwerte. Wenn Sie den Incident speichern, validiert eine Business-Regel die Informationen im Security Incident automatisch anhand von Bedingungen, die in jedem Ihrer aktiven Schweregradrechner definiert sind. Sie werden jeweils ein Sicherheitsrechner in der von definierten Reihenfolge validiert Reihenfolge Feld in jedem Rechner. Wenn die Informationen im Security Incident den in einem der Rechner definierten Bedingungen entsprechen, werden die Schweregradfeldwerte entsprechend den im Rechner festgelegten Regeln aktualisiert.

    Nehmen Sie beispielsweise an, dass Sie einen Security Incident für ein betroffenes CI erstellen und das CI äußerst kritisch ist. Wenn der Security Incident gespeichert wird, werden die CI-Informationen mit den in den Schweregradrechnern definierten Bedingungen verglichen. Wenn der Security Incident anhand von validiert wird Kritischer Service betroffen Schweregradrechner, die Schweregradfelder werden automatisch aktualisiert, und oben im Security Incident wird eine Meldung ähnlich der folgenden angezeigt.

    Nachrichten oben auf Security Incident

    Sie können diese Schweregradrechner unverändert verwenden oder bearbeiten, um die Anforderungen Ihres Unternehmens besser zu erfüllen. Wenn Sie beispielsweise Web- und E-Mail-Bedrohungen identifizieren möchten, die spezifisch für den Geschäftsbereich Finanzen sind, können Sie die Bedingungen von ändern Mehrere Angriffsvektoren Rechner:
    • [Angriffsvektor] [enthält] [Web]
    • [Angriffsvektor] [enthält] [E-Mail]
    • [Geschäftsbereich] [enthält] [Finanzen]

    Sie können die Schweregradwerte in einem vorhandenen Security Incident auch jederzeit aktualisieren, indem Sie den Datensatz öffnen und auf klicken Schweregrad Berechnen Zugehöriger Link.

    Risikopunktzahlrechner für Security Incidents

    Die Legen Sie die Priorität mit Kategorie und Services fest Und Legen Sie die Priorität mit erkennbaren Elementen fest Rechner werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen.

    Relevanzrechner für Anwender

    Die beiden Rechner in Anwenderrelevanz Gruppe ( Anwenderrelevanz abrufen Und Anwendergruppenrelevanz abrufen ) Geben Sie Beispiele dafür an, wie Sie die Relevanz basierend auf Kriterien fördern können, die in einem Anwenderdatensatz definiert sind, oder basierend auf der Gruppe, zu der ein Anwender gehört.

    Sie können nach Bedarf bearbeitet werden, oder neue Anwenderkritikalitätsrechner können erstellt werden.

    Die Anwenderrelevanz abrufen Der Rechner bewirkt, dass sich die Geschäftsrelevanz des Anwenders in ändert 1: Kritisch Wenn Abteilung Feld wird in geändert Finanzen .

    Die Anwendergruppenrelevanz abrufen Der Rechner bewirkt, dass sich die Geschäftsrelevanz des Anwenders in ändert 1: Kritisch Wenn der Anwender zu hinzugefügt wird Datenbank Gruppe.
    Hinweis:
    Anwendergruppenrelevanz abrufen Ist ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird. Wenn Sie weitere Gruppen hinzufügen möchten, um eine Relevanzänderung zu initiieren, fügen Sie in der ersten Zeile des Skripts eine kommagetrennte Liste von Gruppen-sys_IDs hinzu. Beispiel: VAR CRITICAL_GROUPS = [group1_sys_ID, group2_sys_ID, group3_sys_ID] .

    Berechnungen der Risikopunktzahl für Security Incidents

    Die Risikopunktzahl wird als arithmetisches Mittel berechnet, das das Risiko basierend auf der Priorität eines Security Incidents, der Art des Security Incidents (Denial of Service, Spear Phishing oder böswillige Codeaktivität) und der Anzahl der Quellen darstellt, die für einen Indikator eine fehlgeschlagene Reputationspunktzahl ausgelöst haben.

    Die Risikopunktzahl hilft bei der Priorisierung der Security Incident-Arbeit für die Analysten.
    Wichtig:
    Informationen zur Verwendung des neuen Risikopunktzahlrechners finden Sie unter Definieren Sie die neuen Regeln für den Risikopunktzahlrechner.
    Die Legen Sie die Priorität mit Kategorie und Services fest Und Legen Sie die Priorität mit erkennbaren Elementen fest Security Incident-Rechner Werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen. Darüber hinaus lösen die folgenden Business-Regeln die automatische Berechnung von Risikopunktzahlen aus:
    • Schweregrad berechnen
    • Aktualisieren Sie die Risikopunktzahl
    • SI-Risikopunktzahl aktualisieren
    Hinweis:
    Der im Basissystem verfügbare Risikorechner hängt von Ihrer Preisstufe für Sicherheitsvorgänge ab.
    Wenn Sie sich eine Liste von Security Incidents im Basissystem ansehen, beachten Sie Folgendes Risikopunktzahl Spalte.
    Abbildung : 1. Security Incidents
    Security Incidents und Risikopunktzahlen
    Die Risikopunktzahl wird anhand von Gewichtungen berechnet, die in definiert sind Konfiguration der Risikopunktzahl .
    Abbildung : 2. Risikopunktzahlkonfiguration
    Gewichtungen der Risikopunktzahl

    Beispiel: Wenn ein Security Incident einen hat Geschäftsauswirkung Auf festlegen 2 – Hoch Und A Priorität Auf festlegen 3 – Mittel , Die jeweiligen Gewichtungen in der Tabelle mit Risikopunktzahlgewichtungen werden gesucht und so berechnet:

    Geschäftsauswirkung Des Security Incidents Mit einem Wert von 2 = eine Gewichtung von 60.

    Priorität Von Security Incidents Mit einem Wert von 3 = eine Gewichtung von 40.

    (60 + 40)/2 = eine Risikopunktzahl von 50.

    Die Position des Security Incidents in der Security Incident-Liste wird dann basierend auf der aktualisierten Risikopunktzahl neu angeordnet.

    Wenn im obigen Beispiel Geschäftsauswirkung Oder Priorität Der Security Incidents werden geändert, die Risikopunktzahl wird neu berechnet, und die Änderungen werden in den Arbeitsnotizen berücksichtigt.
    Abbildung : 3. Arbeitsnotizen
    Arbeitsnotizen nach Berechnung der Risikopunktzahl
    Die Arbeitsnotizen werden aktualisiert, wenn die folgenden Felder geändert werden (wodurch die Risikopunktzahl aktualisiert wird):
    • Geschäftsauswirkung Im Formular „Security Incident“
    • Priorität Im Formular „Security Incident“
    • Schweregrad Im Formular „Security Incident“ (standardmäßig ausgeblendet)
    • Geschäftsauswirkung Auf Betroffene Anwender Zugehörige Liste
    • Geschäftsauswirkung Auf Betroffene Services Zugehörige Liste
    • Geschäftsauswirkung Auf Schwachstellen auf Angreifbare Elemente Zugehörige Liste
    Darüber hinaus werden die Arbeitsnotizen in den folgenden Situationen aktualisiert:
    • Wenn eine Zuordnung zwischen betroffenen Anwendern und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen betroffenen Services und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen angreifbaren Elementen und einem Security Incident erstellt oder geändert wird

    Arbeitsnotizen werden auch immer aktualisiert Aktualisieren Sie Alle Risikopunktzahlen Und Löschen Sie Alle Risikopunktzahlen Auf Gewichtungen Der Risikopunktzahl Formular angeklickt.

    Verwalten Sie Risikopunktzahlgewichtungen

    Die Gewichtungen der Risikopunktzahl, die zur Berechnung der Risikopunktzahlen in Security Incidents verwendet werden, können einzeln entfernt oder aktualisiert werden. Sie können auch für alle Security Incidents entfernt oder aktualisiert werden. Die Möglichkeit, sie aus Security Incidents zu entfernen, ist beim Ändern von Gewichtungswerten nützlich.

    Vorbereitungen
    Erforderliche Rolle: sn_sec_cmn.admin
    Hinweis:
    Anwender mit der Rolle „sn_si.read“ können die Konfiguration der Risikopunktzahl in anzeigen Security Incident Response.
    Prozedur
    1. Navigieren zu Alle > Security Incident > Einrichtung > Konfiguration der Risikopunktzahlan.
      Hinweis:
      Anwender mit der Rolle „sn_si.read“ können die Konfiguration der Risikopunktzahl anzeigen, indem sie zu navigieren Security Incident > Warnungen und Ereignisse > Risikopunktzahlkonfigurationan.
    2. Klicken Sie auf, um eine neue Gewichtung der Risikopunktzahl hinzuzufügen Neu Und geben Sie Informationen in die Felder ein.
      Feld Beschreibung
      Typ Wählen Sie den Typ der Risikopunktzahl aus, die Sie definieren.
      Wert Geben Sie den Wert an, der dem ausgewählten Typ zugeordnet ist. Wenn für den Typ mehrere Werte verfügbar sind, möchten Sie möglicherweise mehrere Datensätze zur Gewichtung der Risikopunktzahl definieren. Beispiel: Priorität von Security Incidents mit einem Wert von 1, Priorität von Security Incidents mit einem Wert von 2 usw.
      Gewichtung Die Gewichtung, die dem ausgewählten Typ/Wert-Paar zugeordnet ist. Gültige Einträge liegen zwischen 0 und 100, wobei 0 die niedrigste Gewichtung und 100 die höchste ist.
    3. Klicken Sie auf Absenden.
    4. Führen Sie einen dieser Schritte nach Bedarf aus.
      • Um einen Datensatz zur Gewichtung einer Risikopunktzahl zu löschen, öffnen Sie ihn in der Liste, und klicken Sie auf Löschen .
      • Klicken Sie auf, um alle Datensätze zur Gewichtung der Risikopunktzahl zu löschen Löschen Sie Alle Risikopunktzahlen .
      • Klicken Sie auf, um alle Datensätze zur Gewichtung der Risikopunktzahl zu aktualisieren Aktualisieren Sie Alle Risikopunktzahlen .

    Erstellen Sie ein Security Incident ResponseSLA

    Sie können eine Servicelevel-Vereinbarung (SLA) für definieren Security Incident Response.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Einrichtung > SLAsan.
    2. Klicken Sie auf Neu.
      Feldbeschreibungen und detaillierte Anweisungen finden Sie unter Create an SLA definition.

    Reparieren Sie Security Incident-SLAs

    Sie können SLA-Datensätze reparieren, um sicherzustellen, dass die Informationen zu SLA-Zeitpunkt und -Dauer korrekt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Basic

    Prozedur

    1. Wenn er noch nicht geöffnet ist, öffnen Sie den Security Incident, für den Sie SLAs reparieren möchten.
    2. Klicken Sie auf das Kontextmenü des Formularheaders, und wählen Sie aus Reparieren Sie SLAs :
      Reparieren Sie SLAs über das Formular-Header-Menü
    3. Klicken Sie Auf OK Im Bestätigungsfeld Warnung.
      Weitere Informationen finden Sie unter Reparieren Sie SLAs .

    Erstellen Sie ein Runbook für die Reaktion auf Security Incidents

    Ein Runbook ist eine Zuordnung zwischen einem veröffentlichten wissensartikel und einer bestimmten Aufgabe. Während Sie die Aufgabe ausführen, wird automatisch ein wissensartikel im Runbook geöffnet, der Informationen enthält, die für die Aufgabe relevant sind.

    Vorbereitungen

    Es müssen Wissensartikel in vorhanden sein Security Incident ResponseRunbook-Knowledge Base. Wenn Sie Erstellen Sie einen Security Incident-wissensartikel , Stellen Sie sicher, dass Sie auswählen Runbook Für Antwort Auf Security Incidents In Knowledge Base Feld. Nachdem Sie den artikel veröffentlicht haben, können Sie auf klicken Runbook Erstellen Schaltfläche.

    Erforderliche Rolle: sn.si.Knowledge_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Runbooks während der Erstellung von Security Incidents oder Antwortaufgaben verwenden oder die Knowledge Base-Artikel in einem Runbook Aufgaben im Playbook zuordnen.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Manuelles Runbook > Neues Runbook erstellenan.
    2. Füllen Sie die Felder entsprechend aus.
      Feld Beschreibung
      Wissensartikel Wählen Sie einen wissensartikel aus, der in das Runbook aufgenommen werden soll.
      Aktiv Aktivieren Sie das Kontrollkästchen, um das Runbook über verfügbar zu machen Filternavigator .
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine vordefinierte Filtergruppe oder zu verwenden Erstellen Sie eine neue Filtergruppe Zum Definieren der Runbook-Kriterien.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Runbooks verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn Verwenden Sie Filtergruppen Kontrollkästchen ist aktiviert.
      Tabelle Wählen Sie entweder Security Incident [sn_si_Incident] oder aus Security Incident ResponseAufgabe [sn_si_Task].

      Wenn Sie ausgewählt haben Filtergruppe verwenden Aktivieren und eine Filtergruppe ausgewählt haben. Dieses Feld wird standardmäßig auf die Tabelle festgelegt, die der ausgewählten Filtergruppe zugeordnet ist.
      Bedingung Legen Sie die Bedingungen fest, die dieses Runbook mit dem Incident oder der Aufgabe verbinden.

      Wenn Sie ausgewählt haben Filtergruppe verwenden Aktivieren und eine Filtergruppe ausgewählt, die Bedingung Felder werden nicht angezeigt.
    3. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Die Registerkarte „Wissensartikeldetails“ und eine Reihe von Schaltflächen werden angezeigt.
    4. Klicken Sie auf, um die Details des Runbooks anzuzeigen Knowledge Base-Details Registerkarte.
    5. Um den wissensartikel so anzuzeigen, wie er dem Anwender angezeigt wird, klicken Sie auf Artikel Anzeigen .
    6. An Bearbeiten Sie die Details des wissensartikels , Klicken Sie auf Bearbeiten Sie Den Artikel .

    Erstellen Sie Regeln, um von Anwendern gemeldete Phishing-Angriffe zu validieren

    Wenn Ihre Mitarbeiter E-Mails erhalten, die Phishing-Angriffe zu sein scheinen, können sie sie Ihnen unter Verwendung einer Phishing-E-Mail-Adresse melden. Die verdächtige E-Mail wird anhand von Regeln validiert, die von Ihrer Organisation definiert wurden.

    Vorbereitungen

    Bevor E-Mail-Abgleichsregeln zur Identifizierung potenzieller Phishing-Angriffe verwendet werden können, definieren Sie eine E-Mail-Adresse, an die von Ihren Mitarbeitern weitergeleitete E-Mails zur Verarbeitung gesendet werden. Sie haben die folgenden Optionen zum Definieren dieser E-Mail-Adresse (vorausgesetzt, Ihre Unternehmens-E-Mail-Domäne ist acme.com):
    • Definieren Sie eine E-Mail-Adresse wie acme+phishing@service-now.com . Die +Phishing Tag wird von SMTP unterstützt, um das Filtern zu ermöglichen, und Ihre Instanz kann E-Mails empfangen, die an sie gesendet werden.
    • Definieren Sie eine E-Mail-Adresse, z. B. phishing@acme.com (Ihr Exchange-Postfach), das es wiederum an weiterleitet acme+phishing@service-now.com (Ihr Instanz-Postfach wurde durch eine E-Mail-Weiterleitungsregel definiert).

    Erforderliche Rolle: sn_sec_cmn.write

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn ein Mitarbeiter auf eine verdächtige E-Mail stößt, sollte er sie als Anhang an Ihre Phishing-E-Mail-Adresse weiterleiten. Wenn die angehängte E-Mail mit einer Regel übereinstimmt, die eine Bedrohung definiert, wird ein Security Incident erstellt.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Anwender Hat Phishing Gemeldetan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder nach Bedarf aus.
      Tabelle : 6. Formular „E-Mail-Abgleichsregeln“
      Feld Beschreibung
      Name Name für diese E-Mail-Übereinstimmungsregel. Beispiel: Vom Anwender gemeldetes Phishing.
      Bedingungen Verwenden Sie den Bedingungsgenerator Um zu überprüfen, ob eine E-Mail, die an die Phishing-E-Mail-Adresse Ihres Unternehmens gesendet wird, ein Phishing-Angriff ist. Siehe folgendes Beispiel.
    4. Klicken Sie auf Absenden.

    Beispiel

    Dieses Beispiel zeigt eine Übereinstimmungsregel für die Behandlung von von von Anwendern gemeldetem Phishing.
    Abbildung : 4. Beispiel für E-Mail-Übereinstimmungsregel
    E-Mail-Übereinstimmungsregel