Workflow zum Abschluss von Security Incidents

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Schließen Sie den Security Incident, indem Sie den Incident-Status aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Responsean.
    2. Wechseln Sie zum Beispiel zu Listen > Security Incidents > Offene Incidentsan.
    3. Öffnen Sie einen Incident, den Sie schließen möchten.
    4. Wechseln Sie zu Details Registerkarte.
    5. Führen Sie einen Drilldown zum Incident-Status durch, und wählen Sie aus Schließen .
    6. Führen Sie die Abschlussaktivitäten aus.

      • Dies ist ein obligatorischer Schritt zum Überprüfen einer Aufgabe, bevor ein Security Incident geschlossen wird. Alle Antwortaufgaben müssen vom Analysten überprüft und geschlossen oder abgebrochen werden, bevor sie als Security Incident geschlossen werden. Wenn der Analyst auf klickt Überprüfen Sie aktive Aufgaben , Führt der Anwender zu Antwortaufgaben Registerkarte. Eine Sitzungsnachricht wird angezeigt, die Sie auffordert, einen Security Incident zu schließen. Klicken Sie Auf Fahren Sie fort .

      • Klicken Sie auf Fortsetzen. Der erste Schritt – Überprüfen aktiver Aufgaben beim Schließen des Security Incident ist abgeschlossen.
        Abbildung : 1. Abschlussaufgaben werden überprüft
        Schließen Sie das Popup-Fenster „Security Incident“: Aktive Aufgaben werden überprüft.
      • Wechseln Sie zum nächsten Schritt, um die aktiven Playbooks für den Analysten zu überprüfen. Dies ist ein optionaler Schritt. Sie können auf den Link klicken, um die aktive Playbook-Aufgabe zu überprüfen und nach Bedarf zu schließen.
        Hinweis:
        Alle aktiven Workflows, Playbook-Aktivitäten und Flows werden beim Schließen des Security Incident automatisch abgebrochen.
        Abbildung : 2. Überprüfen Sie Playbook-Aufgaben
        Schließen Sie das Popup-Fenster „Security Incident“: Aktive Playbooks werden überprüft.
        Verwenden des manuellen Phishing-Playbooks zur Analyse eines vom Anwender gemeldeten Phishing-Incidents.
      • Bericht zur Überprüfung nach Incident: Sie werden jetzt zur Überprüfung der Aktivitäten nach Incident verschoben, um mit dem Abschluss fortzufahren. Wenn die Bewertung optional ist, überspringen Sie den Schritt, oder wenn die Bewertung obligatorisch ist, führen Sie die Bewertung durch, und schließen Sie sie ab.
        Abbildung : 3. Überprüfen/nehmen Sie die Bewertung vor
        Schließen Sie das Popup-Fenster „Security Incident“: Bewertung durchführen.
        Überprüfung nach Incident: Bewertung des Incident.
      • Bericht konfigurieren/in der Vorschau anzeigen: Dies ist erneut ein optionaler Schritt. Klicken Sie auf den Link, um den Bericht zu überprüfen und mit fortzufahren Als Nächstes Schritt.
        Überprüfung nach Incident: Berichte des Incident.
      • Lösungsdetails angeben: Der Analysten kann das Kontrollkästchen aktivieren, um Wissensartikel automatisch zu erstellen.
      • Geben Sie den Abschlusscode und die Abschlussnotizen an, und klicken Sie auf Schließen Sie den Incident .
        Schließen Sie das Popup-Fenster „Security Incident“: Geben Sie den Abschlusscode und die Abschlussnotizen an.
      Hinweis:
      Zufällig, wenn der Analyst abbricht Schließen Sie den Security Incident Dialogfeld, dann kann der Analyst zu navigieren Details Registerkarte und ändern Sie den Incident-Status in Schließen Um mit dem Abschluss fortzufahren.