Mit Security Incident Response installierte Komponenten
Beim Herunterladen und Aktivieren von werden verschiedene Arten von Komponenten installiert Security Incident Response Anwendung, einschließlich Anwenderrollen, Tabellen, Eigenschaften und geplanten Aufgaben.
Hinweis:
In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.
Für diese Funktion sind Demodaten verfügbar.
Installierte Eigenschaften
Benutzer mit der Rolle „Systemadministrator“ [admin] können die Eigenschaften anzeigen. Benutzer mit der Rolle „Sicherheitsadministrator“ [sn_si.admin] können sie ändern.
| Eigenschaft | Monatlich |
|---|---|
| Die Standardkategorieknoten, die auf der Registerkarte „Beziehungsdiagramm“ im Arbeitsbereich angezeigt werden. Die Standardwerte stellen die Tabellennamen dar, die den zugehörigen Datensätzen entsprechen. sn_si_aw.defaultCategories |
|
| Standardmäßige Startzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, formatiert als 08:00 sn_si.default.start.time |
|
| Standardmäßige Endzeit für alle Mitarbeiter, wenn kein Zeitplan festgelegt ist, im Format 17:00 sn_si.default.end.time |
|
| Erkennbare Elemente vom Typ Ziel zusammen mit anderen erkennbaren Elementen vom Typ Kontext in die Security Incident-Anwender- und -CI-Beziehungen einschließen sn_si.Link_dest_ip |
Bestimmt, ob ein erkennbares Security Incident-Element mit dem Kontexttyp „Ziel“ unter angezeigt wird Konfigurationselemente Oder Betroffene Anwender Registerkarten. Standardmäßig werden erkennbare Elemente mit einem Zielkontexttyp ausgeschlossen. Um die erkennbaren Elemente einzubeziehen, wählen Sie Ja. |
| Lassen Sie Anpassungen zu, wenn Sie ein Problem oder eine Change-Anforderung aus einem Security Incident erstellen sn_si.Popup |
Wenn ein Problem oder Change erstellt wird, öffnet diese Eigenschaft ein Popup-Fenster, um die Anforderung zu ändern. Wenn diese Eigenschaften auf festgelegt sind Falsch , Das Problem oder die Change-Anforderung hat die gleiche Priorität, Kurzbeschreibung und Beschreibung wie der Security Incident, ohne dass Sie diese Felder hinzufügen oder bearbeiten können.
|
| Ordnen Sie Sichtungssuchergebnisse CIs in der CMDB zu. sn_si.Associate_ci_with_Sighting_search |
Bei „wahr“ enthalten Sichtungssuchergebnisse zugehörige Konfigurationselemente, die sich in Ihrer CMDB befinden.
|
| Die Risikopunktzahl im Bereich wird grün hervorgehoben und im Format 0-49 formatiert sn_si.risk.score.green |
In der Liste Security Incidents werden Security Incidents mit einer Risikopunktzahl zwischen 0 und 49 mit einem grünen Punkt markiert. |
| Risikopunktzahl im Bereich wird orange hervorgehoben und im Format 50-79 formatiert sn_si.risk.score.orange |
In der Liste Security Incidents werden Security Incidents mit einer Risikopunktzahl zwischen 50 und 79 mit einem orangefarbenen Punkt markiert. |
| Die Risikopunktzahl im Bereich wird rot hervorgehoben und im Format 80-100 formatiert sn_si.risk.score.red |
In der Liste Security Incidents werden Security Incidents mit einer Risikopunktzahl zwischen 80 und 100 mit einem roten Punkt markiert. |
| Dieser Parameter aktiviert oder deaktiviert Sichtungssuchkonfigurationen, die diese Funktion implementiert haben. sn_si.enable_Sighting_search |
Bei „wahr“ können Sichtungssuchen für aktivierte Integrationen durchgeführt werden.
|
| Die Anzahl der Zeilen mit Rohdaten, die gespeichert werden, wenn eine Sichtungssuche durchgeführt wird. Bereich 0-100 sn_si.Sighting_search_RAW_Data_rows |
Diese Eigenschaft ist standardmäßig auf 50 Zeilen mit Rohdaten festgelegt. Die Hälfte der Ergebniszeilen wird ab Beginn des Suchzeitrahmens und die Hälfte ab Ende des Suchzeitrahmens gemeldet. Wenn Sie also 50 Zeilen auswählen, stammen 25 vom Beginn des Suchzeitrahmens und 25 vom Ende des Suchzeitrahmens. |
| Incident-Status automatisch auf „Eindämmen“ erhöhen, wenn eine Antwortaufgabe auf „In Arbeit“ gesetzt wird sn_si.Rollup_Task_State |
Erwägen Sie bei der Verwendung von Flows oder Workflows, diese Eigenschaft auf festzulegen Falsch . Auf diese Weise können Sie den Incident-Status aus Flows oder Workflows steuern. Außerdem können potenzielle Konflikte beim Übergang von einem Incident-Status in einen anderen vermieden werden.
|
| Zuweisungseigenschaften für Security Incident Response | |
| Standortgewichtung sn_si.location.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise der Standort für eine Aufgabe berücksichtigt wird, wird der Wert der Standortgewichtung zur Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Gewichtung der Kompetenzen sn_si.Skills.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise Kompetenzen für eine Aufgabe berücksichtigt werden, wird der Wert der Kompetenzgewichtung zur Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Legen Sie die maximale Anzahl von Sicherheitsanalysten fest, die durch automatische Zuweisung gleichzeitig verarbeitet werden sollen sn_si.max.agents.processed |
Das System hat einen absoluten Grenzwert von 300 Sicherheitsanalysten. Wenn Sie mehr als 300 angeben, wird der Wert auf diese Ebene festgelegt. Das System kann keine Aufgabe für eine Versandgruppe automatisch senden, die mehr Sicherheitsanalysten enthält, als der konfigurierte Wert.
|
| Gewichtung Zeitzone sn_si.timezone.weight |
Eine Bewertung, die bei der Berechnung der Kriterien für die automatische Zuweisung eines Sicherheitsanalysten verwendet wird. Wenn beispielsweise die Zeitzone des Sicherheitsanalysten für eine Aufgabe berücksichtigt wird, wird der Wert der Zeitzonengewichtung der Bewertung des Sicherheitsanalysten hinzugefügt.
|
| Zwischen Ende einer Aufgabe und dem Reistestart der nächsten hinzuzufügende Dauer (in Minuten). sn_si.work.spacing |
Ein Beispiel für einen gültigen Zeitwert ist 10.
|
Angegebene Journalfelder mit Code Tags, die Inhalt als HTML rendern.sn_si.Journal_field.html_enabled |
|
| Berechnen Sie die betroffenen Services im Hintergrund. sn_si.refresh_Impact.event |
Die zugehörige Liste „Betroffene Services/Betroffene CIs“ wird durch Ereignisse generiert. Wenn diese Option aktiviert ist, wird die Aktualisierung im Hintergrund ausgeführt, und dem Incident werden Sicherheits-Tags hinzugefügt. Legen Sie den Wert auf fest Wahr Um den Vorgang im Hintergrund auszuführen.
|
| Ruft den kritischen Service aus vorberechneten Daten ab. sn_si.critical_service.calculator.use_cache |
Ermöglicht dem Rechner für kritische Services die Verwendung vorab berechneter Daten von Konfigurationselementen. Legen Sie den Wert auf fest Wahr Um nach vorab berechneten Daten zu suchen
|
Installierte Rollen
| Rollentitel [Name] | Beschreibung | Enthält Rollen |
|---|---|---|
| Security Incident-Administrator [sn_si.admin] |
Vollständige Kontrolle über alle Security Incident Response Daten. Verwaltet auch Gebiete und Kompetenzen nach Bedarf. Hinweis: Im Basissystem hat der Administrator auch Zugriff auf sn_si.admin. Security Incident Response Kann vom Administrator beschränkt werden, solange mindestens einem anderen Anwender die Rolle „Sicherheitsadministrator“ zugewiesen ist. |
|
| Profiladministrator [sn_si.ingestion_profile_admin] |
Konfigurieren Sie die Plugins, erstellen, bearbeiten, löschen und verwalten Sie Profile für die Anwendung Splunk, Splunk es und Azure Sentinel Integration for Security Operations. Hinweis: Anwender mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt. Die Rolle sn_si.ingestion_profile_admin kann Anwendern vom sn_si.admin zugewiesen werden. |
N/V |
| Security Incident-Analyst [sn_si.Analyst] |
Verwalten Sie Security Incidents. Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Benutzer mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Changes und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Security Incident – Standard [sn_si.Basic] |
Zugrunde liegende Rolle für grundlegenden Sicherheitszugriff. Benutzer mit dieser Rolle können Security Incidents, Anforderungen und Aufgaben sowie Probleme, Changes und Ausfälle im Zusammenhang mit ihren Incidents erstellen und aktualisieren. |
|
| Chief Information Security Officer (CISO) [sn_si.ciso] |
Zeigen Sie das CISO-Dashboard an, und bearbeiten Sie es. Auch, wenn Vulnerability Response Plugin ist aktiviert. Benutzer mit dieser Rolle können dem Dashboard Baumaps zur Definition der Schwachstellenbedeutung hinzufügen. Sie können dasselbe auch mit tun Security Incident Response Plugin. |
|
| Security Incident Extern [sn_si.extern] |
Zeigen Sie alle Security Incidents an, die zu ihrer bestimmten Gruppe gehören. Hinweis: Die folgenden beiden Regeln gelten durchgehend ServiceNow Unabhängig vom bereichsbezogenen Administrator oder der bereichsbezogenen App.
|
Service_Fulfiller |
| Security Incident-Integrationsanwender [sn_si.integration_user] |
Externe Tools können neue Security Incident-Datensätze bereitstellen und Security Incident-Datensätze aktualisieren. | import_transformer |
| Security Incident-Wissensadministrator [sn_si.Knowledge_admin] |
Verwalten, aktualisieren und löschen Sie die Informationen in der Security Incident Knowledge Base. |
|
| Security Incident-Manager [sn_si.Manager] |
Gleicher Zugriff wie Sicherheitsanalysten. |
|
| Security Incident Gelesen [sn_si.read] |
Lesen Sie Security Incidents. |
|
| Zugriffsmanager für Sicherheitsbeschränkung [sn_si.restriction_Access_Manager] | Ermöglicht Anwendern oder Gruppen das Erzwingen von Einschränkungen für Security Incidents. Dies gilt nur für Feldänderungen. | N/V |
| Security Incident – Spezialzugriff sn_si.special_Access |
Bietet Anwendern außerhalb der Security Operations-Organisation Zugriff auf bestimmte Security Incidents. | N/V |
| Aktivierer für speziellen Sicherheitszugriff [sn_si.special_Access_Enabler] | Stellt einem Anwender außerhalb der Security Operations-Organisation eine spezielle Zugriffsrolle für bestimmte Security Incidents bereit. | N/V |
| Security Incident – spezieller Lesemanager für Zugriff [sn_si.special_Access_read_Manager] | Verwalten Sie die Rolle „Special Access“ [sn_si.special_Access] für Security Incidents. Verwenden Sie diese Rolle, um zu ändern Lesezugriff Feld im Security Incident-Formular. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si.special_Access_Enabler |
| Manager für Security Incident-Spezialzugriffsschreiber [sn_si.special_Access_write_Manager] | Verwalten Sie die Rolle „Special Access“ [sn_si.special_Access] für Security Incidents. Verwenden Sie diese Rolle, um zu ändern Privilegierter Zugriff Feld im Security Incident-Formular. Diese Rolle kann von sn_si.admin zugewiesen werden. | sn_si.special_Access_Enabler |
Installierte geplante Aufgaben
| Regelmäßige Aufgabe | Beschreibung |
|---|---|
| Suchen Sie Erkennbare Security Incident-Elemente | Führt eine Suche nach erkennbaren Elementen in einem anwenderdefinierten Zeitplan durch. |
Installierte Tabellen
| Tabelle | Beschreibung |
|---|---|
| Nachrichtenfeed-Konfiguration [sn_si_Feed_Configuration] |
Konfigurationsdatensätze, die zum Definieren des Inhalts verwendet werden, der im Security Incident-Nachrichtenfeed angezeigt wird. |
| Zuweisungsregel für die Überprüfung nach Incidents [sn_si_pir_condition] |
Automatisiert die Auswahl der Teilnehmer einer Umfrage zur Überprüfung nach Incident, wenn ein Security Incident geschlossen wird. |
| Security Incident [sn_si_Incident] |
Speichert einen Security Incident, die Antworten auf den Incident, alle verknüpften Aufgaben, Changes, Probleme und Incidents im Zusammenhang mit diesem Security Incident. |
| Security Incident-Angriffsvektoren [sn_si_Attack_Vector] |
Angriffsvektoroptionen. |
| Audit-Protokoll für Security Incidents [sn_si_Audit_log] |
Speichert Auditprotokolle zur Ergänzung von Security Incidents. |
| Security Incident-Rechner [sn_si_Calculator] |
Ein Rechner zum Festlegen bestimmter Security Incident-Felder, wenn bestimmte Bedingungen erfüllt sind. |
| Security Incident-Rechnergruppe [sn_si_Calculator_Group] |
Eine Gruppierung von Security Incident-Rechnern. Die Reihenfolge der Rechnergruppe bestimmt, welche Gruppe zuerst ausgewertet wird, und in jeder Gruppe wird höchstens ein Rechner verwendet. |
| Security Incident-Anreicherung – Firewall [sn_si_Anreicherung_Firewall] |
Erweitert sich aus der Basistabelle (sn_sec_cmn_Enrichment_Data_Base) und enthält alle Ergänzungsdatensätze, die für die Palo Alto Networks-Firewall spezifisch sind. |
| Malware-Ergebnisse Zur Anreicherung Von Security Incidents [sn_si_Anreicherung_Malware] |
Erweitert sich aus der Basistabelle (sn_sec_cmn_Enrichment_Data_Base) und enthält alle für Malware spezifischen Ergänzungsdatensätze. |
| Security Incident-Anreicherung – Netzwerkstatistiken [sn_si_Enrichment_Network_statistics] |
Erweitert sich aus der Basistabelle (sn_sec_cmn_Enrichment_Data_Base) und enthält alle Ergänzungsdatensätze, die für Netzwerkstatistiken spezifisch sind. |
| Security Incident-Anreicherung – Laufende Prozesse [sn_si_Enrichment_running _processes] |
Erweitert sich aus der Basistabelle (sn_sec_cmn_Enrichment_Data_Base) und enthält alle Ergänzungsdatensätze, die für laufende Prozesse spezifisch sind. |
| Security Incident-Anreicherung – Laufende Services [sn_si_Anreicherung_Running_Service] |
Erweitert sich aus der Basistabelle (sn_sec_cmn_Enrichment_Data_Base) und enthält alle Ergänzungsdatensätze, die für laufende Services spezifisch sind. |
| E-Mail-Suche für Security Incidents [sn_si_m2m_Incident_email_search] |
Ordnet E-Mail-Suchdatensätze Security Incidents zu. |
| Security Incident-Import [sn_si_Incident_Import] |
Importtabelle für Security Incidents. Wird verwendet, um Security Incidents aus externen Systemen zu erstellen. |
| Prozessdefinition für Security Incidents [sn_si_Process_Definition] |
Speichert die Konfiguration für Security Incident-Prozess-Flows. |
| Prozessdefinitionsauswahl für Security Incidents [sn_si_Process_Definition_Selector] |
Speichert die Prozessdefinition für Security Incidents, die für Security Incidents verwendet werden soll. |
| Mit Security Incident verbundener Kundenservicefall [sn_si_m2m_Incident_customerservice_Case] |
Ordnet Kundenservicefälle und Security Incidents zu |
| Mit Security Incident verbundene Ergänzungsdaten [sn_si_m2m_Incident_Anreicherung] |
Ordnet Security Incidents und zugehörige Ergänzungsdatensätze zu. |
| Security Incident Response Aufgabe [sn_si_Task] |
Verwaltet Teilaufgaben im Zusammenhang mit der Behandlung eines Security Incidents. Diese Aufgaben können Sicherheitspersonal oder Personen in anderen Abteilungen zugewiesen werden, um die abteilungsübergreifende Kommunikation und die Aufgabennachverfolgung zu verwalten. |
| Security Incident Response Aufgabenvorlage [sn_si_Task_template] |
Wird zum Erstellen von verwendet Security Incident Response Aufgabe. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um automatisch eine Reihe geeigneter Teilaufgaben für einen bestimmten Typ von Security Incidents zu erstellen. |
| Security Incident Runbook-Dokument [sn_si_runbook_document] |
Ordnet Bedingungen oder Filter für Security Incidents einem wissensartikel zu. Wird verwendet, um Runbook-Verfahren für die Korrektur von Security Incidents anzugeben. |
| Vorlage für Security Incidents [sn_si_Incident_template] |
Wird verwendet, um einen Security Incident zu erstellen. Diese Vorlagen werden häufig in Katalogeinträgen verwendet, um einen vorgefertigten Security Incident zu erstellen. |
| Sicherheitsanfrage [sn_si_Request] |
Eine sicherheitsbezogene Anforderung an das Sicherheitsteam. |
| Anforderung für Sicherheitsprüfung [sn_si_Scan_Request] |
Eine Anforderung für eine Bedrohungssuche. |
| Schweregradrechner sn_si_severity_Calculator |
Definiert den Schweregrad, die Auswirkung, das Risiko und die Relevanzwerte für einen Security Incident. |
| Von Aufgabe betroffener Anwender [sn_si_m2m_Task_affected_user] |
Eine viele-zu-viele-Tabelle, die Security Incidents betroffenen Anwendern zugeordnet. |
| Vorlagen-Workflow-Aktivität – Ergebnisauswertung [sn_si_wf_activity_result_Evaluator] |
Ordnet eine Fähigkeit einem Auswertungsskript zu. Ein neuer Subflow kann einem Vorlagen-Workflow hinzugefügt werden, um ein Ergebnis einer Antwortaufgabe festzulegen, anstatt es manuell von einem Analysten festzulegen. |