Verwalten Sie Sicherheitsbedrohungen mit Sicherheitsanalyst-Arbeitsbereich

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Security Incident Response Enthält eine neue Anwenderoberfläche namens Sicherheitsanalyst-Arbeitsbereich Das leistungsstarke Tools zur Unterstützung der Analyse enthält, einschließlich Playbook, PEEK-Ansicht und Registerkarten für die Bearbeitung mehrerer Security Incidents.

    Speziell für Sicherheitsanalysten entwickelt, die leistungsstarken Tools in Sicherheitsanalyst-Arbeitsbereich Ermöglichen Sie es Ihnen, das ständig wachsende Datenvolumen im Zusammenhang mit Security Incidents zu analysieren. Und automatisierte Aktionen reduzieren die Zeit für die Untersuchung von Security Incidents erheblich, was der Unterschied zwischen dem Stoppen eines Angriffs und dem Erleiden eines Verstoßes sein kann.

    Vor der Verwendung von Sicherheitsanalyst-Arbeitsbereich

    Bevor Sie mit der Verwendung von beginnen können Sicherheitsanalyst-Arbeitsbereich, Sie müssen sicherstellen, dass in Ihrer Instanz mindestens London Patch 3 installiert ist, Sie über die richtigen Rollen verfügen und verfügen Die UI-Anwendung „Security Incident Response“ wurde aus heruntergeladen ServiceNow Storean.
    Hinweis:
    Wenn Ihre Instanz eine ältere Version als London Patch 3 ausführt, müssen Sie das UI-Plugin „Security Incident Response“ über das HI-Kundenservice-System anfordern.

    Auf Sicherheitsanalyst-Arbeitsbereich zugreifen

    Um auf diesen neuen Arbeitsbereich zuzugreifen, navigieren Sie zu Security Incident > Incidents (neue UI)an.

    Abbildung : 1. Security Incident
    Navigationsleiste für Security Incident

    Der Arbeitsbereich wird in einer separaten Browserregisterkarte geöffnet.

    Abbildung : 2. Security Incidents
    Alle offenen Security Incidents

    Suchen Sie mit Schnellfiltern nach den Security Incidents, die Sie analysieren möchten

    Die Sicherheitsanalyst-Arbeitsbereich Stellt mehrere Tools zum Filtern der Liste der Security Incidents bereit, damit Sie schnell die Security Incidents finden können, die Sie analysieren möchten. Mit den Schnellfiltern können Sie eine Teilmenge der Security Incidents basierend auf den Kriterien im Filter auswählen.
    Abbildung : 3. Schnellfilter
    Schnellfilter

    Klicken Sie einfach auf den Schnellfilter, den Sie verwenden möchten.

    Hinweis:
    Sie können auf klicken Bearbeiten Schaltfläche zum Identifizieren, welche Schnellfilter auf dem Listenbildschirm angezeigt werden sollen. Mindestens ein Filter muss ausgewählt werden, maximal sechs.

    Sie können zusätzliche Schnellfilter sowie primäre Filter für definieren Sicherheitsanalyst-Arbeitsbereich, Mit der klassischen Umgebung. Weitere Informationen finden Sie unter Richten Sie primäre und sekundäre Filter für ein Sicherheitsanalyst-Arbeitsbereich.

    Personalisieren Sie die Security Incident-Liste

    Wie bei allen Listen in Ihrer Instanz, die Sicherheitsanalyst-Arbeitsbereich Stellt Tools zum Personalisieren der Liste und zum Sortieren der angezeigten Informationen entsprechend Ihren Analyseanforderungen bereit.
    Abbildung : 4. Personalisieren Sie die Security Incident-Liste
    Filteroptionen für Security Incident-Liste

    Sparen Sie Zeit mit der Peek-Ansicht

    Bevor Sie einen Security Incident-Datensatz öffnen, können Sie mit der Peek-Ansicht Zeit sparen. Mit dieser Funktion können Sie wichtige Sicherheitsartefakte schnell finden, ohne die gesamte Seite neu laden zu müssen. Klicken Sie einfach auf > Symbol links neben einer Security Incident-Nummer, um einen Blick zu werfen.

    Abbildung : 5. PEEK-Ansicht
    Security Incident, der die PEEK-Ansicht anzeigt
    Die PEEK-Ansicht bietet einen Snapshot wichtiger Informationen in einer einzigen Ansicht. Diese Ansicht kann wertvolle Zeit sparen, wenn Sie mit mehreren Incidents arbeiten. Sie können auf bestimmte Felder auf die Abwärtspfeile klicken, um aktuelle Aktualisierungen vorzunehmen, z. B. das Zuweisen einer Zuweisungsgruppe oder eines bestimmten Analysten.
    Abbildung : 6. Details der Ansicht anzeigen
    Details anzeigen

    Führen Sie schnelle Aktionen für einen Security Incident aus

    Nachdem Sie einen bestimmten Security Incident ausgewählt und geöffnet haben, können Sie Zeitersparnisaktionen für den Datensatz ausführen.
    • Wenn Ihr Security Incident geöffnet ist, klicken Sie auf Bearbeiten Sie Den Datensatz Symbol, um schnelle Änderungen an einem der Felder vorzunehmen. Wenn der Datensatz geschlossen ist, können Sie nur sein Tag ändern.
    • Klicken Sie Auf Verwalten Sie Anhänge Zum Anhängen von Dateien an den Security Incident. Sie können angehängte Dateien auch herunterladen oder entfernen und die auf die Anhänge angewendete Verschlüsselung bearbeiten.
    • Klicken Sie Auf E-Mail Verfassen Dient zum Senden einer schnell-E-Mail an einen Kollegen. E-Mails können Freiform sein, oder Sie können E-Mails senden, die aus einer Liste von Vorlagen ausgewählt wurden. Gesendete E-Mails und empfangene Antworten werden in der Incident-Zeitleiste erfasst.
      Hinweis:
      Sie können anwenderdefinierte Vorlagen erstellen, die wiederverwendbare Inhalte für E-Mails und E-Mail-Benachrichtigungen enthalten. Variablen können zum Einfügen von Informationen verwendet werden, die für den Security Incident oder die Warnung spezifisch sind, z. B. Betreffzeile, Priorität oder Bedrohungskategorie. Verwenden Sie die Tabelle „Security Incident“ [sn_si_Incident] für E-Mails und E-Mail-Benachrichtigungen im Zusammenhang mit Security Incident Response. Weitere Informationen finden Sie unter E-Mail-Vorlagen
    • Klicken Sie Auf Mehr Dient zum Anzeigen eines schnellen Snapshots des Security Incidents, z. B. Beschreibung, Geschäftsauswirkung und Priorität. Sie können auch auf den Abwärtspfeil in klicken Zuweisungsgruppe Und Zugewiesen an Felder zum Vornehmen von On-the-fly-Änderungen an diesen Feldern.
    Abbildung : 7. Zuweisungsgruppe
    Schnellaktionen

    Arbeiten Sie mit mehreren Security Incidents

    Die Benutzeroberfläche mit Registerkarten ermöglicht es Ihnen, mehrere Security Incidents gleichzeitig offen zu halten, sodass Sie mit einem einzigen Klick zwischen ihnen wechseln können. Dies kann Zeit sparen und Ihnen das Gesamtbild anzeigen, wenn Bedrohungen aus mehreren Quellen identifiziert werden.
    Abbildung : 8. Arbeiten Sie mit mehreren Security Incidents
    Schnittstelle mit Registerkarte „Security Incident“

    Zeigen Sie Analyseinformationen auf den Security Incident-Registerkarten an

    Wenn Sie einen Security Incident-Datensatz öffnen, werden drei Registerkarten angezeigt:
    • Übersicht
    • Untersuchen
    • Incident-Zeitleiste

    Registerkarte „Übersicht“

    Verwenden Sie Übersicht Registerkarte zum Anzeigen von Informationen in einem Security Incident an einem einzelnen Ort. Es muss keine andere Anwendung oder Konsole geöffnet werden.
    Abbildung : 9. Übersicht
    Registerkarte „Überprüfen“
    Die Kacheln, die auf angezeigt werden Übersicht Registerkarten können angepasst werden. Sie können sie nach Bedarf reduzieren und erweitern und verschieben, indem Sie ziehen Greifen Symbol. Klicken Sie auf Weitere Optionen Symbol zum Löschen einer Kachel oder zum Ändern des Überschriftentexts.
    Abbildung : 10. Registerkarte „Übersicht“
    Navigation auf der Registerkarte Übersicht.

    Registerkarte „Erkunden“

    Konfigurieren Sie die auf der angezeigten Kacheln Übersicht Registerkarte mit Erkunden Registerkarte. Wählen Sie einfach im linken Bereich die Kacheln aus, die Sie anzeigen möchten, und klicken Sie auf Anheften Symbol. Angeheftete Kacheln werden automatisch in angezeigt Übersicht Registerkarte.
    Abbildung : 11. Registerkarte „Exportieren“
    An Übersicht anheften
    Der linke Bereich von Erkunden Die Registerkarte enthält eine Vielzahl von Informationen, die Sie im anzeigen können Übersicht Registerkarte. Erweitern Sie beispielsweise Erkennbare Elemente Um diese zugehörigen Listen anzuzeigen.
    • Erkennbare Elemente
    • Bedrohungssuche – Ergebnisse
    • Ergebnisse Des Sicherheitsscans
    • Domänensuchen
    • Ergänzung erkennbarer Elemente

    Zusätzliche zugehörige Listen sind unter verfügbar Anwender , Konfigurationselemente , Und Incidents .

    Registerkarte „Incident-Zeitleiste“

    Verwenden Sie Incident-Zeitleiste Registerkarte während Ihrer Untersuchung zu Nachverfolgungszwecken. Jedes Mal, wenn eine Aktion für einen Security Incident ausgeführt wird, zeichnet das System sie in der Incident-Zeitleiste auf.
    • Sie können der Zeitleiste auch manuell Arbeitsnotizen hinzufügen, indem Sie sie in eingeben Fügen Sie Arbeitsnotizen hinzu Kästchen und Klicken auf Veröffentlichen .
    • Sie können mithilfe des Suchfelds nach einer bestimmten Zeitleistenaktivität suchen.
    • Die Filteraktivität Mit dem Symbol können Sie nur die Arten von Zeitleistenaktivitäten anzeigen, die Sie anzeigen möchten (z. B. nur Incidents, die von einem bestimmten Analysten erstellt wurden).
    • Sie können die Incident-Zeitleiste hinzufügen oder daraus entfernen Übersicht Registerkarte mit Anheften/Lösen Symbol.
    Abbildung : 12. Registerkarte „Incident-Zeitleiste“
    Incident-Zeitleiste

    Behandeln Sie Security Incidents mit dem Playbook

    Lösen Sie bestimmte Arten von Sicherheitsbedrohungen Schritt für Schritt mit den integrierten Sicherheitsanalysten-Playbooks. Beispielsweise kann ein Analyst das Playbook verwenden, um Phishing-Angriffe und Bedrohungen zu lösen, die durch schädliche Codeaktivitäten verursacht wurden. Weitere Informationen finden Sie unter Lösen Sie Sicherheitsbedrohungen mit dem Playbook.