Vorlage für Security Incident Reconnaissance-Workflow

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die Aufklärung ist normalerweise ein erster Schritt in Richtung eines weiteren Angriffs, bei dem ein Gerät oder System ausgenutzt werden soll. Mit der Vorlage „Security Incident – Reconnaissance –“ können Sie eine Reihe von Aufgaben ausführen, die für die Durchführung von Aufklärungen in Ihrem Netzwerk konzipiert sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn Kategorie In einem Security Incident ist auf festgelegt Aufklärungsaktivität . Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Aufklärungsaktivität
    Vorlage für Aufklärungs-Workflow

    Prozedur

    1. Öffnen Sie den Security Incident für diesen potenziellen Angriff, oder Erstellen Sie einen neuen Security Incident .
    2. In Kategorie , Wählen Sie aus Aufklärungsaktivität .
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie Antwortaufgaben Zugehörige Liste.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Jedes Mal, wenn der Datensatz gespeichert wird, bewirkt Ihre Antwort auf die vorherige Aufgabe, dass entweder die nächste Antwortaufgabe erstellt oder der Workflow beendet wird
      Tabelle : 1. Antwortaufgaben in Reconnaissance-Vorlage
      Antwortaufgabe Aktion Ergebnisse
      Aufklärungsaktivität verifiziert? Bestimmen Sie, ob eine beobachtete Aufklärung verifiziert wurde.

      Wählen Sie in der Aufgabe aus Ja Oder Nein In Ergebnis .

      		 Wenn Sie auswählen Ja , Identifizieren Sie betroffene Systeme Aufgabe wird ausgeführt.

      Wenn Sie auswählen Nein , Der Flow endet.
      Identifizieren Sie betroffene Systeme Bestimmen Sie die von der Aufklärung betroffenen Systeme. Wenn diese Aufgabe abgeschlossen ist, wird Aufklärung für Analysen der Strafverfolgung zulassen? Aufgabe wird ausgeführt.
      Aufklärung für Analysen der Strafverfolgung zulassen? Legen Sie fest, ob die Aufklärung von Strafverfolgungsbehörden analysiert werden soll.

      Wählen Sie in der Aufgabe aus Ja Oder Nein In Ergebnis .

      		 Wenn Sie auswählen Ja , Strafverfolgungsprozess Aufgabe wird ausgeführt.

      Wenn Sie auswählen Nein , Aktualisieren Sie System(e), um Aufklärungen zu verhindern Aufgabe wird ausgeführt.
      Strafverfolgungsprozess Führen Sie den von Ihrem Unternehmen definierten Strafverfolgungsprozess durch. Wenn diese Aufgabe abgeschlossen ist, wird Aktualisieren Sie System(e), um Aufklärungen zu verhindern Aufgabe wird ausgeführt.
      Aktualisieren Sie System(e), um Aufklärungen zu verhindern Führen Sie die erforderlichen Schritte aus, um die von der Aufklärung betroffenen Systeme zu aktualisieren. Wenn diese Aufgabe abgeschlossen ist, wird Legen Sie den Status auf „Überprüfen“ fest Aufgabe wird ausgeführt.
      Legen Sie den Status auf „Überprüfen“ fest Keine Aktion erforderlich. Die Status Des Security Incidents wird automatisch in geändert Überprüfen , Und Besprechung mit gelernten Lektionen Aufgabe wird ausgeführt.
      Besprechung mit gelernten Lektionen Führen Sie ein Meeting mit gelernten Lektionen durch, um die für diesen Erkundungs-Incident ausgeführte Arbeit zu selektieren.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Wenn diese Aufgabe abgeschlossen ist, endet der Flow.