Referenz des Setup-Assistenten

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 25 Minuten Lesedauer

    • Der Setup-Assistent führt Sie durch die Schritte, die Sie zum Einrichten von ausführen müssen Security Incident Response Basissystem. Dieser Abschnitt enthält zusätzliche Informationen zu den komplizierten Schritten, für die Sie möglicherweise weitere Erklärungen benötigen.

    Erstellen Sie einen Security Incident Response Prozessdefinition

    Sie können eine Prozessdefinition erstellen, um zu definieren, wie Security Incidents von einem Status in den nächsten übergehen. Prozessdefinitionen geben Service Desks und Endanwender Hilfe, das Problem während seines gesamten Lebenszyklus nachzuverfolgen.

    Vorbereitungen

    Erforderliche Rolle: sn.si_admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Prozessdefinitionan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 1. Prozessdefinitionen werden erstellt
      Feld Beschreibung
      Name Name des Datensatzes, der den in der Skripteinbindungsdatei codierten Prozess beschreibt. Der Name wird als Auswahl in angezeigt Prozessdefinitionsauswahl Liste.
      Skripteinbindung Der Name (einschließlich sn_si . Präfix) der Skripteinbindung, die die Definition des Prozesses enthält. Das Skript muss sich im Security Incident befinden ( sn_si ) Anwendungsbereich. Weitere Informationen finden Sie unter Erstellen Sie eine anwenderdefinierte Security Incident Response Skripteinbindung der Prozessdefinition. Wenn dieses Feld keinen gültigen Skripteinbindungsnamen enthält, wird die standardmäßige Definition ProcessDefinition_NIST_Stateful verwendet.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Reihenfolge Bestimmt die Position in der Prozessdefinitionsliste.
      Aktiv Wenn diese Option aktiviert ist, kann diese Prozessdefinition über ausgewählt werden Prozessdefinitionsauswahl Seite.
    4. Klicken Sie auf Absenden.

    Beschreibung der Prozessdefinition für Security Incident Response

    Security Incident Response Prozessdefinition Ersetzt Status-Flows und stellt Endanwendern und Service Desks den Status eines Problems zur Verfügung. Eine Prozessdefinition hilft, das Problem über seinen Lebenszyklus nachzuverfolgen. Security Incident Response Ist eine Service Management-Anwendung (SM), die über einen eigenen Satz von status verfügt. Ungültige status werden als Teil von gemeldet Prozessauswahl.

    Definition Des Security Incident Response-Prozesses

    Die Standardprozessdefinition (NIST Stateful) definiert die folgenden Incident-status:
    Hinweis:
    Verfügbare status variieren je nach aktuellem Status des Incident.
    Tabelle : 2. status der Security Incident-Prozessdefinition
    Status Beschreibung
    Entwurf Der Anforderungsinitiator fügt Informationen zum Security Incident hinzu, kann aber noch nicht bearbeitet werden.
    Analyse Der Incident wurde zugewiesen, und das Problem wird analysiert.
    Begrenzen Das Problem wurde identifiziert, und das Sicherheitspersonal arbeitet daran, es einzudämmen und die Schadenskontrolle durchzuführen. Diese Aktionen können umfassen, dass Server offline geschaltet werden, Geräte vom Internet getrennt werden und ob Sicherungen vorhanden sind.
    Beseitigen Das Problem wurde eingedämmt, und das Sicherheitspersonal ergreift Schritte, um das Problem zu beheben.
    Wiederherstellen Das Problem wurde gelöst, und die Betriebsbereitschaft der betroffenen Systeme wird überprüft.
    Prüfung Der Security Incident ist abgeschlossen, und alle Systeme funktionieren wieder normal. Eine Überprüfung nach dem Incident ist jedoch weiterhin erforderlich.
    Geschlossen Der Incident ist abgeschlossen, aber bevor ein Security Incident geschlossen werden kann, müssen Sie die Informationen in eingeben Abschlussinformationen Registerkarte.

    Definitionen des Prozesses für Security Incident-Aufgaben

    Die folgenden Prozessdefinitionen werden für Security Incident-Aufgaben verwendet.

    Tabelle : 3. definitionsstatus des Aufgabenprozesses
    Status Beschreibung
    Bereit Die Aufgabe kann bearbeitet werden, nachdem sie einem Service Desk-Mitarbeiter zugewiesen wurde.
    Zugewiesen Die Aufgabe ist einem Service Desk-Mitarbeiter zugewiesen.
    In Bearbeitung Der zugewiesene Service Desk-Mitarbeiter arbeitet an der Aufgabe.
    Abschließen Die Aufgabe ist abgeschlossen.
    Abgebrochen Die Aufgabe wurde abgebrochen.

    NIST unterstützt die folgenden beiden Modelle:

    • NIST Stateful

      Mit dieser Prozessdefinition können Analysten sequenziell von einem Status in einen anderen wechseln, ohne einen Schritt zu überspringen. Beispiel: Wenn der Analyst mit beginnt Entwurf status, dann ist die sequenzielle Reihenfolge dieser Prozessdefinition Entwurf > Analyse > Enthalten > Beseitigen > Wiederherstellen . Daher ist die NIST Stateful-Prozessdefinition unidirektional und ermöglicht es Analysten nur, nur in die vorwärtsstatus zu gelangen.

      Hier ist ein weiteres Beispiel: Wenn der Analyst mit dem Analysestatus beginnt, ist die sequenzielle Reihenfolge dieser Prozessdefinition Analyse > Enthalten > Beseitigen > Wiederherstellen .

    • NIST Open

      Mit dieser Prozessdefinition können Analysten von einem Status in einen anderen wechseln, entweder vorwärts oder rückwärts. Beispiel: Wenn der Analyst mit beginnt Analyse status, dann kann die Reihenfolge der Prozessdefinition entweder sein Analyse > Enthalten > Beseitigen > Wiederherstellen Oder Analyse > Entwurf . Daher ist die Prozessdefinition „NIST Offen“ bidirektional und ermöglicht es Analysten, je nach Anforderungen in den Vorwärts- oder rückwärtsstatus zu wechseln.

    Auswahl Des Prozesses Für Die Reaktion Auf Security Incidents

    Security Incident Response Prozessauswahl listet Prozesse mit ungültigen status für Security Incidents und Antwortaufgaben auf.

    Ein Administrator kann den Incident oder die Aufgabe manuell oder mithilfe eines Skripts in gültige status korrigieren. Eine leere zugehörige Liste (keine Incidents, keine Aufgaben) gibt an, dass sich jede aktive Aufgabe in einem gültigen Status befindet. Verfügbare status variieren je nach aktuellem Status des Incident. Weitere Informationen finden Sie unter Korrektur ungültiger Status von Security Incidents oder Aufgaben mit Prozessdefinitionen.

    Wählen Sie ein aus Security Incident Response Prozessdefinition

    Sie können die Prozessdefinition auswählen, die für die entsprechenden status für Security Incidents und Antwortaufgaben Ihres Unternehmens verwendet werden soll.

    Vorbereitungen
    Erforderliche Rolle: admin und sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Prozedur
    1. Navigieren zu Alle > Security Incident Response > Administration > Prozessauswahlan.
    2. Klicken Sie auf das Suchsymbol, um die verfügbaren Prozessdefinitionen aufzulisten.
      Prozessdefinitionsauswahl
    3. Wählen Sie eine Prozessdefinition aus.
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine anwenderdefinierte Security Incident Response Skripteinbindung der Prozessdefinition

    Erstellen Sie ein anwenderdefiniertes Prozessdefinitionsskript für die entsprechenden status für Security Incidents und Antwortaufgaben Ihres Unternehmens.

    Vorbereitungen
    Erforderliche Rolle: sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Das Hauptskript „sn_si.ProcessDefinition“ steuert Prozessdefinitionen. Prozessdefinition Bestimmt, welche Definition verwendet wird (mit Prozessauswahl ). Ruft die entsprechende Skripteinbindungsdatei auf, um die anfänglichen status und Übergänge für Security Incidents und Antwortaufgaben zu bestimmen.
    Prozedur
    1. Navigieren zu Alle > Systemdefinition > Skripteinbindungenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 4. Prozessdefinitionen werden erstellt
      Feld Beschreibung
      Name Name dieser Skripteinbindung.
      API-Name Erstellt basierend auf dem Namen der Skripteinbindung.
      Vom Client aufrufbar Macht die Skripteinbindung für Client-Skripts, Listen- und Berichtsfilter, Referenzqualifizierer oder verfügbar , Wenn angegeben , Als Teil der URL.
      Anwendung Security Incident
      Zugänglich von Wählen Sie Aus Nur dieser Anwendungsbereich .
      Aktiv Wenn diese Option aktiviert ist, kann diese Skripteinbindung aus der ausgewählt werden Prozessdefinition Seite.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Skript Definiert das serverseitige Skript, das ausgeführt werden soll, wenn es von anderen Skripts aufgerufen wird.

      Das Skript muss eine einzelne JavaScript-Klasse oder eine globale Funktion definieren. Der Klassen- oder Funktionsname muss mit dem Wert im Feld Name übereinstimmen.

      Informationen zu Skriptinhalten finden Sie unter Skripteinbindung der Prozessdefinition.
      Formular „Skripteinbindung der Prozessdefinition“
    4. Klicken Sie auf Absenden.
    Skripteinbindung der Prozessdefinition

    Die Skripteinbindung „Prozessdefinition“ bietet Methoden zum Definieren einer Prozessdefinition.

    Implementieren Sie die hier beschriebenen Konstanten, Attribute, Arrays und Methodenaufrufe, um eine Skripteinbindung für Prozessdefinitionen anzupassen.

    Verwendungszweck

    Verwenden Sie diese Skripteinbindung, um eine Prozessdefinition zu erstellen.

    Skripteinbindungstext
    Der Textkörper der Skripteinbindung besteht aus drei Abschnitten:
    • Konstanten: Definitionen des Anfangsstatus
    • Security Incident und Antwortaufgabe: Prozessdefinitions-Arrays
    • Methodenaufrufe: Informationen werden abgerufen
    Konstanten

    Konstanten werden verwendet, um die anfangsstatus von Security Incidents und Antwortaufgaben zu definieren.

    Die Verwendung von Konstanten ist optional, wird jedoch aus Gründen der Lesbarkeit empfohlen. Zum Beispiel:
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Welche später von den folgenden Methoden verwendet werden:

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    Der nächste Satz von Konstanten definiert die status für Security Incidents und Antwortaufgaben.

    Jedes Array enthält auch die Definition, welche status verfügbar sind, wenn sich der Incident oder die Aufgabe in einem bestimmten Status befindet.

    Zum Beispiel:
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    Das Beispiel ist ein Array von Objekten. Jedes Objekt definiert einen Status und mögliche übergangsstatus.

    Die Reihenfolge des Statusobjekts bestimmt die gewünschte Reihenfolge für den Flow.

    Wenn sich die Aufgabe im Status „Entwurf“ (Wert 1) befindet, sind folgende status möglich: 1 (Entwurf, was keine Änderung ist) und 10 (bereit, der nächste Schritt im Prozess).

    Es gibt keine Beschränkung für die Anzahl der Übergänge aus einem Status. Die Status „Abgeschlossen“ und „Abgebrochen“ sind endgültige status und weisen daher keine möglichen Statusübergänge auf.

    Die Reihenfolge der Attribute im Objekt ist nicht wichtig. Wenn die Definition klarer wird, setzen Sie die Bezeichnung zuerst.

    Attribute
    Erforderliche Attribute in einem Statusdefinitionsobjekt sind:
    • status: Numerischer Wert des Status
    • Bezeichnung: Visuell lesbarer Text, der dem Status zugeordnet ist
    • Auswahl: Ein Array von Statuswerten, in die der Status übergehen kann (bestimmt den Inhalt der Dropdown-Liste „Status“)
    Optionale Attribute sind:
    • Obligatorisch: Liste der Feld-IDs, die in diesem Status obligatorisch werden
    • Schreibgeschützt: Liste der Feld-IDs, die in diesem Status schreibgeschützt werden
    • Sichtbar: Liste der Feld-IDs, die in diesem Status sichtbar werden
    • Nicht obligatorisch: Liste der Feld-IDs, die in diesem Status nicht obligatorisch werden
    • Nicht sichtbar: Liste der Feld-IDs, die in diesem Status nicht mehr sichtbar wären
    Hinweis:

    Wenn optionale Attribute verwendet werden, liegt es in der Verantwortung des Autors sicherzustellen, dass Felder zwischen status sichtbar/unsichtbar, obligatorisch/nicht obligatorisch, sichtbar/ausgeblendet oder schreibgeschützt werden.

    Wenn Sie beispielsweise ein Feld in einem Status ausblenden, wird es später nicht in einem anderen Status sichtbar, es sei denn, das Attribut „sichtbar“ wird verwendet.

    Prozessfluss-Definitions-Arrays

    Um die Informationen zu definieren, die im Prozess-Flow-Formatierer (der Balken oben in den Formularen „Security Incident“ und „Antwortaufgabe“) angezeigt werden, benötigt das System Informationen darüber, was für jeden Status angezeigt werden soll.

    Zum Beispiel:
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Das TASK_PF-Array ist eine Sammlung von Bezeichnungen, Bedingungen und Beschreibungen, die verwendet werden, um den in der Prozessformatierer-Leiste angezeigten Text (einschließlich Reihenfolge und Aktivität) zu bestimmen.

    Im Beispiel ist der Text „bereit“ das zweite angezeigte Element. Wird hervorgehoben, wenn die Aufgabe die Bedingung „State=10^EQ“ erfüllt hat.

    Wenn der Zeiger auf den Text zeigt, wird die Beschreibung „Security Incident Response-Aufgabe ist bereit für Zuweisung“ angezeigt.

    Hinweis:

    Status können zu einem einzelnen Formatierer-Status kombiniert werden.

    Im Beispiel werden sowohl die status „Abgeschlossen“ als auch „Abgebrochen“ in der oberen Leiste als „Geschlossen“ angezeigt.

    Methodenaufrufe
    Die folgenden Methoden müssen in der Skripteinbindung vorhanden sein, da sie von sn_si.ProcessDefinition verwendet werden:
    Rückgabetyp Methodenübersicht Beschreibung
    Zeichenfolge GetInitialIncidentState: Function() Gibt den numerischen Wert des anfänglichen Incident-Status zurück
    Zeichenfolge GetInitialTaskState: Function(): Geben Sie den numerischen Wert des anfänglichen Aufgabenstatus zurück
    Array von Zeichenfolge GetIncidentStates: Function(): Gibt das Array des Incident-Status zurück
    Array von Zeichenfolge GetTaskStates: Function(): Gibt das Array des Aufgabenstatus zurück
    Array von Objekten GetIncidentProcessFlows: Funktion(): Gibt das Array der Incident-Prozess-Flow-Definition zurück
    Array von Objekten GetTaskProcessFlows: Funktion(): Geben Sie das Array der Flow-Definition für den Aufgabenprozess zurück

    Der nächste Satz von Methoden wird immer aufgerufen, wenn ein Incident oder eine Aufgabe aktualisiert wird, und ermöglicht das Ausführen von Aktionen für bestimmte Change-Übergänge.

    Rückgabetyp Methodenübersicht Beschreibung
    void PerformIncidentStateChange: Funktion (aktuell, zurück) In den Beispielen wird diese Methode verwendet, um SM-bezogene Werte festzulegen und sicherzustellen, dass ein Incident von „Entwurf“ entfernt wird, sobald ihm jemand zugewiesen wurde.
    void PerformTaskStateChange: Funktion (aktuell, zurück) Im Beispiel wird diese Methode verwendet, um Zeitstempel (bei Zuweisung und Abschluss) zu aktualisieren und die Aufgabe von „bereit“ zu „zugewiesen“ zu ändern, sobald das Feld „assigned_to“ ausgefüllt ist.
    Die gleichen Aktionen, die mit diesen beiden Methoden ausgeführt werden, können mit einer Business-Regel ausgeführt werden. Durch die Definition in der Skripteinbindung wird das Wechseln von Prozessdefinitionen erleichtert.

    Korrektur ungültiger Status von Security Incidents oder Aufgaben mit Prozessdefinitionen

    Ein Administrator kann den Security Incident oder die Aufgabe manuell oder mithilfe eines Skripts in einen gültigen status korrigieren. Verfügbare status variieren je nach aktuellem Status des Incident.

    Vorbereitungen
    Erforderliche Rolle: Administrator
    Warum und wann dieser Vorgang ausgeführt wird
    Nachdem Sie Prozessdefinitionen gewechselt haben, unterstützt die neue Definition möglicherweise einige der alten status nicht. Um den status von verwaisten Incidents oder Aufgaben zu korrigieren, können Sie Folgendes korrigieren Ändern Sie Ihre Prozessdefinition , Bearbeiten Sie Ihre Skripteinbindung , Oder öffnen Sie jeden Incident oder jede Aufgabe manuell, um den Status zu aktualisieren. Im Allgemeinen ist das Aktualisieren des Status (das in einem Massenvorgang durchgeführt werden kann) die einfachste Lösung.

    Um status in einem Massenvorgang zu ändern, gehen Sie wie folgt vor:

    Prozedur
    1. Navigieren zu Alle > Prozessauswahlan.
    2. Heben Sie hervor Status Feld für die Incidents oder Aufgaben, die Sie ändern möchten.
    3. Doppelt- Klicken Sie auf Status Wählen Sie im ersten Datensatz das neue aus Status, Und klicken Sie auf das grüne Häkchen ( Grünes Häkchen), um den Change abzuschließen.
      Beispiel für korrigierte Definition
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Security Incident-Gruppe

    Richten Sie eine Security Incident-Gruppe ein, und weisen Sie der Gruppe die entsprechenden Rollen und Anwender zu.

    Vorbereitungen

    Erforderliche Rollen:
    • Wenn Sie über die Rolle user_admin verfügen, können Sie Security Incident-Zuweisungsgruppen erstellen.
    • Wenn Sie die Rolle sn_si.admin innehaben, können Sie Security Incident-Zuweisungsgruppen erstellen und bearbeiten.

    Warum und wann dieser Vorgang ausgeführt wird

    Anwender in einer Gruppe erben die Rollen der Gruppe, daher müssen Sie nicht jedem Anwender Rollen separat zuweisen.

    Es ist eine gute Praxis, in Ihrer Organisation so viele Gruppen wie erforderlich zu erstellen. Es empfiehlt sich auch, eine Gruppe für Administratoren zu erstellen und nur dieser Gruppe die Administratorrolle zuzuweisen.

    Prozedur

    1. Navigieren zu Alle > Anwenderadministration > Gruppen oder Security Incident > Setup > Gruppenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Hinweis:

      Weitere Informationen finden Sie unter Erstellen Sie eine Anwendergruppe .

    4. Stellen Sie sicher, dass Sie auswählen Security Incident Typ für diese Gruppe.
      1. Wenn Typ Feld ist nicht sichtbar. Konfigurieren Sie das Formular, um es hinzuzufügen.
      2. Klicken Sie auf das Schlosssymbol neben dem Feld Typ.
      3. Klicken Sie auf das Referenzsuchsymbol ( Suchsymbol)
      4. Suchen Sie nach , und wählen Sie aus Security Incident Typ.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
    6. In Rollen Zugehörige Liste: Fügen Sie die Rollen hinzu, die jedes Mitglied dieser Gruppe erhält.
      Beispiel: Wenn Sie eine Gruppe für erstellen Security Incident Response Teammitglieder, fügen Sie sn_si.Analyst hinzu. Wenn Sie eine Gruppe für erstellen Security Incident Response Administratoren, fügen Sie sn_si.admin hinzu.
    7. In Gruppenmitglieder Zugehörige Liste: Fügen Sie dieser Gruppe Anwender hinzu.
    8. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Security Incident-Rechnergruppe

    Security Incident-Rechnergruppen werden zum Gruppieren von Rechnern verwendet.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Setup > Security Incident-Rechnergruppenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name des Security Incident-Rechners.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Reihenfolge Die Reihenfolge, in der der Security Incident-Rechner ausgeführt wird. Ein Rechner mit einer Auftragseingabe von 100 wird vor einem Rechner mit einer Auftragseingabe von 200 ausgeführt.
      Beschreibung Eine Beschreibung dieser Rechnergruppe.
      Erstellt von Geben Sie den Namen des Anwenders ein, der erstellt hat
    4. Klicken Sie auf Absenden.

    Erstellen Sie einen Security Incident-Rechner

    Mit Security Incident-Rechnern können Sie den Schweregrad eines Security Incidents basierend auf vordefinierten Formeln berechnen. Sie können nach Bedarf eigene Security Incident-Rechner definieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Setup > Security Incident-Rechnergruppenan.
    2. Klicken Sie auf den Namen der Gruppe, für die Sie einen Rechner erstellen möchten, oder Sie können es Erstellen Sie eine Rechnergruppe .
    3. Klicken Sie auf Neu.
    4. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name des Security Incident-Rechners.
      Rechnergruppe Name der Gruppe, zu der dieser Rechner gehört.
      Hinweis:
      Das Erstellen oder Ändern der Rechnergruppe ist verfügbar, nachdem Sie eine eingegeben haben Name Und Tabelle .
      Tabelle

      Wählen Sie die Tabelle aus, die für diesen Rechner verwendet werden soll.

      Wenn Sie Rechner zu anderen Tabellen als „Schwachstelle“ [sn_vul_Vulnerability] und „Angreifbares Element“ [sn_vul_vulnerable_item] hinzufügen, müssen Sie diesen Tabellen Business-Regeln und UI-Aktionen hinzufügen. So zeigen Sie Beispiele an:
      • Navigieren zu Systemdefinition > Business-Regeln, Und suchen Sie nach Schweregrad Berechnen Geschäftsregel in der Tabelle „Angreifbares Element“ [sn_vul_vulnerable_item].
      • Navigieren zu System-UI > UI-Aktionen, Und suchen Sie nach Schweregrad Berechnen UI-Aktion für die Tabelle „Angreifbares Element“ [sn_vul_vulnerable_item].

      Außerdem muss der Schwachstellen-Administratorrolle vollständige Lese-, Schreib- (oder Save_as_template)-Fähigkeiten in jeder von einem Rechner verwendeten Tabelle gewährt werden, um die auf die Vorlage anzuwendenden Werte ordnungsgemäß anzuzeigen.
      Anwendung Die bereichsbezogene Anwendung, zu der der Rechner gehört.
      Reihenfolge Die Reihenfolge, in der der Security Incident-Rechner ausgeführt wird. Ein Rechner mit einer Auftragseingabe von 100 wird vor einem Rechner mit einer Auftragseingabe von 200 ausgeführt.
      Aktiv Aktivieren oder deaktivieren Sie den Rechner.
      Beschreibung Eine Beschreibung dieses Rechners.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Die Bedingungen Und Anzuwendende Werte Registerkarten werden angezeigt.
    6. Füllen Sie die Felder im aus Bedingungen Registerkarte entsprechend.
      Feld Beschreibung
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine vordefinierte Filtergruppe oder zu verwenden Erstellen Sie eine neue Filtergruppe Zum Definieren der Rechnerkriterien.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Rechners verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn Sie ausgewählt haben Verwenden Sie Filtergruppen Kontrollkästchen.
      Erweiterte Bedingung verwenden Aktivieren Sie dieses Kontrollkästchen, um anzugeben, dass eine Skriptbedingung verwendet wird, um zu bestimmen, wann dieser Rechner angewendet wird. Wenn Sie das Kontrollkästchen aktivieren, eine Erweiterte Bedingung Das Feld „Skripting“ wird angezeigt.

      Wenn Sie ausgewählt haben Verwenden Sie die Filtergruppe Kontrollkästchen, dieses Feld ist ausgeblendet.

      Hinweis:
      Bevor Sie erweiterte Bedingungen definieren und Skripts schreiben, um zu bestimmen, wann die Security Incident-Rechner angewendet werden, kehren Sie zur Liste Security Incident-Rechner zurück. Erkunden Sie die mit dem Basissystem gelieferten Rechnerdatensätze.
      Bedingung Definiert grundlegende Filterbedingungen zur Bestimmung, ob der Rechner verwendet wird.

      Wenn Sie eine der Optionen ausgewählt haben Verwenden Sie die Filtergruppe Oder Erweiterte Bedingungen verwenden Kontrollkästchen, dieses Feld ist ausgeblendet.
    7. Klicken Sie auf Anzuwendende Werte Registerkarte und füllen Sie die Felder im Formular entsprechend aus.
      Sie können ein Skript zum Definieren der Werte erstellen, die auf die Berechnung angewendet werden sollen, oder eine Vorlage basierend auf Feldern in der ausgewählten Tabelle definieren.
      Feld Beschreibung
      Skriptwerte verwenden Aktivieren Sie dieses Kontrollkästchen, um Feldwerte mit einem Skript zu definieren.
      Skriptwerte Definiert, auf welche Werte die Berechnungen angewendet werden sollen.

      Dieses Feld wird nur angezeigt, wenn Sie ausgewählt haben Verwenden Sie Skriptwerte Kontrollkästchen.
      Vorlage Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern. Wählen Sie die Felder und Werte aus, die Sie für den Rechner verwenden möchten.
    8. Wenn Sie alle Einträge abgeschlossen haben, klicken Sie auf Übermitteln .

    Verstehen von Security Incident-Rechnern

    Security Incident-Rechner werden verwendet, um Datensatzwerte zu aktualisieren, wenn vordefinierte Bedingungen erfüllt sind. Die Rechner werden basierend auf den Kriterien gruppiert, die verwendet werden, um zu bestimmen, wie die Datensätze aktualisiert werden.

    Die Security Incident Response Das Basissystem enthält die folgenden Security Incident-Rechnergruppen und -Rechner. In jeder Gruppe wird der erste Rechner ausgeführt, der den Bedingungen entspricht.

    Tabelle : 5. Security Incident-Rechner im Basissystem
    Gruppenname Des Security Incident-Rechners In der Gruppe enthaltene Rechner Beschreibung
    Geschäftsauswirkung Aus Schweregradrechnern zusammenfassen Dieser Rechner delegiert an den Sicherheitsrelevanzrechner, der die Relevanz durch Gewichtung der Werte anderer Felder bestimmt.
    Schweregrad Geschäft betroffen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.
    Wichtiger Service betroffen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn das Konfigurationselement im Security Incident einem äußerst kritischen Business-Service zugeordnet ist, wird die Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder werden wie vom Rechner definiert erhöht.
    Kritische Serviceänderungen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn der Security Incident die Bedingungen erfüllt, wird ein Skript ausgeführt, um zu definieren, auf welche Ebenen die Felder hochgestuft werden. Wenn das Konfigurationselement im Security Incident einem kritischsten oder etwas kritischen Business-Service zugeordnet ist, der Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder werden wie vom Rechner definiert erhöht.
    Mehrere Angriffsvektoren Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Wenn das Konfigurationselement im Security Incident Web-, E-Mail- und Identitätswechsel-Angriffsvektoren zugeordnet ist, wird die verwendet Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder werden wie vom Rechner definiert erhöht.
    Priorität mit Kategorie und Services festlegen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Priorität des Security Incidents ist auf festgelegt 1: Kritisch Wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, und einer davon ist kritisch.
    • Die Kategorie „Security Incident“ ist eine der folgenden Kategorien:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie die Preisstufe Starter Security Operations haben.
    Priorität für erkennbare Elemente festlegen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Priorität des Security Incidents ist auf festgelegt 1: Kritisch Wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, und einer davon ist kritisch.
    • Die Kategorie „Security Incident“ ist eine der folgenden Kategorien:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    • Eines der zugeordneten erkennbaren Elemente oder Indikatoren hat eine Sichtungsanzahl, die zwei Sichtungen mit aktiven Indikatoren überschreitet (d. h. die erkennbaren Elemente oder Indikatoren werden aus mehreren Quellen als schlecht bestätigt).
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie die Preisstufe „Advanced Security Operations“ haben und das Plugin „Threat Feeds“ aktivieren.
    Anwenderrelevanz Anwenderrelevanz abrufen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Dieser Schweregradrechner bewirkt, dass sich die Geschäftsrelevanz des Anwenders in ändert 1: Kritisch Wenn Abteilung Feld wird in geändert Finanzen .
    Anwendergruppenrelevanz abrufen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.

    Dieser Schweregradrechner bietet ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird.

    Schweregradrechner

    Wenn Sie einen Security Incident erstellen, wird die Risikopunktzahl , Geschäftsauswirkung , Und Priorität Felder enthalten Standardwerte. Wenn Sie den Incident speichern, validiert eine Geschäftsregel die Informationen im Security Incident automatisch anhand der in jedem Ihrer aktiven Schweregradrechner definierten Bedingungen. Sie werden jeweils ein Sicherheitsrechner in der von definierten Reihenfolge validiert Reihenfolge Feld in jedem Rechner. Wenn die Informationen im Security Incident den in einem der Rechner definierten Bedingungen entsprechen, werden die Feldwerte für den Schweregrad entsprechend den im Rechner festgelegten Regeln aktualisiert.

    Angenommen, Sie erstellen einen Security Incident für ein betroffenes CI, und das CI ist sehr kritisch. Wenn der Security Incident gespeichert wird, werden die CI-Informationen mit den in den Schweregradrechnern definierten Bedingungen verglichen. Wenn der Security Incident anhand von validiert wird Kritischer Service betroffen Schweregradrechner, die Schweregradfelder werden automatisch aktualisiert, und oben im Security Incident wird eine Meldung ähnlich der folgenden angezeigt.

    Nachrichten oben auf Security Incident

    Sie können diese Schweregradrechner unverändert verwenden oder bearbeiten, um die Anforderungen Ihres Unternehmens besser zu erfüllen. Wenn Sie beispielsweise Web- und E-Mail-Bedrohungen identifizieren möchten, die für den Geschäftsbereich Finanzen spezifisch sind, können Sie die Bedingungen von ändern Mehrere Angriffsvektoren Rechner:
    • [Angriffsvektor] [enthält] [Web]
    • [Angriffsvektor] [enthält] [E-Mail]
    • [Geschäftsbereich] [enthält] [Finanzen]

    Sie können die Schweregradwerte in einem vorhandenen Security Incident auch jederzeit aktualisieren, indem Sie den Datensatz öffnen und auf klicken Schweregrad Berechnen Zugehöriger Link.

    Security Incident-Risikopunktzahlrechner

    Die Legen Sie die Priorität mit Kategorie und Services fest Und Legen Sie die Priorität mit erkennbaren Elementen fest Rechner werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen.

    Anwenderrelevanzrechner

    Die beiden Rechner in Anwenderrelevanz Gruppe ( Anwenderrelevanz abrufen Und Anwendergruppenrelevanz abrufen ) Geben Sie Beispiele dafür an, wie Sie die Relevanz basierend auf Kriterien fördern können, die in einem Anwenderdatensatz definiert sind, oder basierend auf der Gruppe, zu der ein Anwender gehört.

    Sie können nach Bedarf bearbeitet werden, oder es können neue Anwender-Relevanzrechner erstellt werden.

    Die Anwenderrelevanz abrufen Der Rechner bewirkt, dass sich die Geschäftsrelevanz des Anwenders in ändert 1: Kritisch Wenn Abteilung Feld wird in geändert Finanzen .

    Die Anwendergruppenrelevanz abrufen Der Rechner bewirkt, dass sich die Geschäftsrelevanz des Anwenders in ändert 1: Kritisch Wenn der Anwender zu hinzugefügt wird Datenbank Gruppe.
    Hinweis:
    Anwendergruppenrelevanz abrufen Ist ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird. Wenn Sie weitere Gruppen hinzufügen möchten, um eine Relevanzänderung zu initiieren, fügen Sie in der ersten Zeile des Skripts eine kommagetrennte Liste von Gruppen-sys_IDs hinzu. Beispiel: VAR CRITICAL_GROUPS = [group1_sys_ID, group2_sys_ID, group3_sys_ID] .

    Berechnungen der Risikopunktzahl für Security Incidents

    Die Risikopunktzahl wird als arithmetisches Mittel berechnet, das das Risiko basierend auf der Priorität eines Security Incidents, der Art des Security Incidents (Denial of Service, Spear Phishing oder böswillige Code-Aktivität) und der Anzahl der Quellen darstellt, die für einen Indikator eine fehlgeschlagene Reputationspunktzahl ausgelöst haben.

    Die Risikopunktzahl hilft bei der Priorisierung der Security Incident-Arbeit für die Analysten.
    Wichtig:
    Informationen zur Verwendung des neuen Rechners für Risikopunktzahl finden Sie unter Definieren Sie die neuen Regeln für den Rechner der Risikopunktzahl.
    Die Legen Sie die Priorität mit Kategorie und Services fest Und Legen Sie die Priorität mit erkennbaren Elementen fest Security Incident-Rechner Werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen. Darüber hinaus lösen die folgenden Business-Regeln die automatische Berechnung von Risikopunktzahlen aus:
    • Schweregrad berechnen
    • Aktualisieren Sie die Risikopunktzahl
    • SI-Risikopunktzahl aktualisieren
    Hinweis:
    Der im Basissystem verfügbare Risikorechner hängt von Ihrer Security Operations-Preisstufe ab.
    Wenn Sie sich eine Liste von Security Incidents im Basissystem ansehen, beachten Sie die Risikopunktzahl Spalte.
    Abbildung : 1. Security Incidents
    Security Incidents und Risikopunktzahlen
    Die Risikopunktzahl wird anhand der in definierten Gewichtungen berechnet Konfiguration der Risikopunktzahl .
    Abbildung : 2. Risikopunktzahlkonfiguration
    Gewichtungen der Risikopunktzahl

    Beispiel: Wenn ein Security Incident einen hat Geschäftsauswirkung Auf festlegen 2 – Hoch Und ein Priorität Auf festlegen 3 – Mittel , Die jeweiligen Gewichtungen in der Tabelle mit Risikopunktzahlgewichtungen werden gesucht und so berechnet:

    Security Incident – Geschäftsauswirkung Mit einem Wert von 2 = eine Gewichtung von 60.

    Security Incident-Priorität Mit einem Wert von 3 = eine Gewichtung von 40.

    (60 + 40)/2 = eine Risikopunktzahl von 50.

    Die Position des Security Incidents in der Security Incident-Liste wird dann basierend auf der aktualisierten Risikopunktzahl neu angeordnet.

    Wenn im obigen Beispiel die Geschäftsauswirkung Oder Priorität Der Security Incidents werden geändert, die Risikopunktzahl wird neu berechnet, und die Änderungen werden in den Arbeitsnotizen berücksichtigt.
    Abbildung : 3. Arbeitsnotizen
    Arbeitsnotizen nach Berechnung der Risikopunktzahl
    Die Arbeitsnotizen werden aktualisiert, wenn die folgenden Felder geändert werden (wodurch die Risikopunktzahl aktualisiert wird):
    • Geschäftsauswirkung Im Formular „Security Incident“
    • Priorität Im Formular „Security Incident“
    • Schweregrad Im Formular „Security Incident“ (standardmäßig ausgeblendet)
    • Geschäftsauswirkung Auf der Betroffene Anwender Zugehörige Liste
    • Geschäftsauswirkung Auf der Betroffene Services Zugehörige Liste
    • Geschäftsauswirkung Auf Schwachstellen in Angreifbare Elemente Zugehörige Liste
    Darüber hinaus werden die Arbeitsnotizen in den folgenden Situationen aktualisiert:
    • Wenn eine Zuordnung zwischen betroffenen Anwendern und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen betroffenen Services und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen angreifbaren Elementen und einem Security Incident erstellt oder geändert wird

    Arbeitsnotizen werden auch immer aktualisiert Aktualisieren Sie Alle Risikopunktzahlen Und Löschen Sie Alle Risikopunktzahlen Auf der Gewichtungen Der Risikopunktzahl Formular angeklickt.

    Verwalten Sie Risikopunktzahlgewichtungen

    Die Gewichtungen der Risikopunktzahl, die zur Berechnung der Risikopunktzahlen in Security Incidents verwendet werden, können einzeln entfernt oder aktualisiert werden. Sie können auch für alle Security Incidents entfernt oder aktualisiert werden. Die Möglichkeit, sie aus Security Incidents zu entfernen, ist nützlich, wenn Gewichtungswerte geändert werden.

    Vorbereitungen
    Erforderliche Rolle: sn_sec_cmn.admin
    Hinweis:
    Benutzer mit der Rolle „sn_si.read“ können die Konfiguration der Risikopunktzahl in anzeigen Security Incident Response.
    Prozedur
    1. Navigieren zu Alle > Security Incident > Setup > Konfiguration der Risikopunktzahlan.
      Hinweis:
      Benutzer mit der Rolle „sn_si.read“ können die Konfiguration der Risikopunktzahl anzeigen, indem sie zu navigieren Security Incident > Warnungen und Ereignisse > Risikopunktzahlkonfigurationan.
    2. Klicken Sie auf, um eine neue Gewichtung der Risikopunktzahl hinzuzufügen Neu Und geben Sie Informationen in die Felder ein.
      Feld Beschreibung
      Typ Wählen Sie den Typ der Risikopunktzahl aus, die Sie definieren.
      Wert Geben Sie den Wert an, der dem ausgewählten Typ zugeordnet ist. Wenn für den Typ mehrere Werte verfügbar sind, möchten Sie möglicherweise mehrere Datensätze zur Gewichtung der Risikopunktzahl definieren. Beispiel: Security Incident-Priorität mit einem Wert von 1, Security Incident-Priorität mit einem Wert von 2 usw.
      Gewichtung Die Gewichtung, die dem ausgewählten Typ/Wert-Paar zugeordnet ist. Gültige Einträge liegen zwischen 0 und 100, wobei 0 die niedrigste Gewichtung und 100 die höchste ist.
    3. Klicken Sie auf Absenden.
    4. Führen Sie bei Bedarf einen dieser Schritte aus.
      • Um einen Datensatz zur Gewichtung einer Risikopunktzahl zu löschen, öffnen Sie ihn aus der Liste, und klicken Sie auf Löschen .
      • Klicken Sie auf, um alle Datensätze zur Gewichtung der Risikopunktzahl zu löschen Löschen Sie Alle Risikopunktzahlen .
      • Klicken Sie auf, um alle Datensätze zur Gewichtung der Risikopunktzahl zu aktualisieren Aktualisieren Sie Alle Risikopunktzahlen .

    Erstellen Sie einen Security Incident Response SLA

    Sie können eine Servicelevel-Vereinbarung (Service Level Agreement, SLA) für definieren Security Incident Response.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Setup > SLAsan.
    2. Klicken Sie auf Neu.
      Feldbeschreibungen und detaillierte Anweisungen finden Sie unter Create an SLA definition.

    Reparieren Sie Security Incident-SLAs

    Sie können SLA-Datensätze reparieren, um sicherzustellen, dass SLA-Timing- und -Dauerinformationen korrekt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Basic

    Prozedur

    1. Wenn er noch nicht geöffnet ist, öffnen Sie den Security Incident, für den Sie SLAs reparieren möchten.
    2. Klicken Sie auf das Kontextmenü des Formularheaders, und wählen Sie aus Reparieren Sie SLAs :
      Reparieren Sie SLAs über das Header-Menü des Formulars
    3. Klicken Sie Auf OK Im Bestätigungsfeld Warnung.
      Weitere Informationen finden Sie unter Reparieren Sie SLAs .

    Erstellen Sie ein Security Incident Response-Runbook

    Ein Runbook ist eine Zuordnung zwischen einem veröffentlichten wissensartikel und einer bestimmten Aufgabe. Während Sie die Aufgabe ausführen, wird automatisch ein wissensartikel im Runbook geöffnet, der Informationen enthält, die für die Aufgabe relevant sind.

    Vorbereitungen

    Es müssen Wissensartikel in vorhanden sein Security Incident Response Runbook-Knowledge Base. Wenn Sie Erstellen Sie einen Security Incident-wissensartikel , Stellen Sie sicher, dass Sie auswählen Security Incident Response Runbook In Knowledge Base Feld. Nachdem Sie den artikel veröffentlicht haben, können Sie auf klicken Erstellen Sie Runbook Schaltfläche.

    Erforderliche Rolle: sn.si.Knowledge_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Runbooks während der Erstellung von Security Incidents oder Antwortaufgaben verwenden oder die Knowledge Base-Artikel in einem Runbook Aufgaben im Playbook zuordnen.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Manuelles Runbook > Neues Runbook erstellenan.
    2. Füllen Sie die Felder entsprechend aus.
      Feld Beschreibung
      Wissensartikel Wählen Sie einen wissensartikel aus, der in das Runbook aufgenommen werden soll.
      Aktiv Aktivieren Sie das Kontrollkästchen, um das Runbook über verfügbar zu machen Filternavigator .
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine vordefinierte Filtergruppe oder zu verwenden Erstellen Sie eine neue Filtergruppe Zum Definieren der Runbook-Kriterien.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Runbooks verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn Verwenden Sie Filtergruppen Das Kontrollkästchen ist aktiviert.
      Tabelle Wählen Sie entweder Security Incident [sn_si_Incident] oder aus Security Incident Response Aufgabe [sn_si_Task].

      Wenn Sie ausgewählt haben Verwenden Sie die Filtergruppe Kontrollkästchen und eine Filtergruppe ausgewählt. Dieses Feld wird standardmäßig auf die Tabelle gesetzt, die der ausgewählten Filtergruppe zugeordnet ist.
      Bedingung Legen Sie die Bedingungen fest, die dieses Runbook mit dem Incident oder der Aufgabe verbinden.

      Wenn Sie ausgewählt haben Verwenden Sie die Filtergruppe Aktivieren Sie das Kontrollkästchen, und wählen Sie eine Filtergruppe aus, die Bedingung Felder werden nicht angezeigt.
    3. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Die Registerkarte Wissensartikeldetails und eine Reihe von Schaltflächen werden angezeigt.
    4. Klicken Sie auf , um die Details des Runbooks anzuzeigen Knowledge Base-Details Registerkarte.
    5. Um den wissensartikel so anzuzeigen, wie er dem Anwender angezeigt wird, klicken Sie auf Artikel Anzeigen .
    6. An Bearbeiten Sie die Details des wissensartikels , Klicken Sie auf Bearbeiten Sie Den Artikel .

    Erstellen Sie Regeln, um von Anwendern gemeldete Phishing-Angriffe zu validieren

    Wenn Ihre Mitarbeiter E-Mails erhalten, die Phishing-Angriffe zu sein scheinen, können sie sie Ihnen unter Verwendung einer Phishing-E-Mail-Adresse melden. Die verdächtige E-Mail wird anhand von Regeln validiert, die von Ihrer Organisation definiert wurden.

    Vorbereitungen

    Bevor E-Mail-Übereinstimmungsregeln zur Identifizierung potenzieller Phishing-Angriffe verwendet werden können, definieren Sie eine E-Mail-Adresse, an die von Ihren Mitarbeitern weitergeleitete E-Mails zur Verarbeitung gesendet werden. Sie haben die folgenden Optionen zum Definieren dieser E-Mail-Adresse (vorausgesetzt, Ihre Unternehmens-E-Mail-Domäne ist acme.com):
    • Definieren Sie eine E-Mail-Adresse wie acme+phishing@service-now.com . Die +Phishing Tag wird von SMTP unterstützt, um das Filtern zu ermöglichen, und Ihre Instanz kann E-Mails empfangen, die an sie gesendet werden.
    • Definieren Sie eine E-Mail-Adresse, z. B. phishing@acme.com (Ihr Exchange-Postfach), das sie wiederum an weiterleitet acme+phishing@service-now.com (Ihr Instanz-Postfach, das durch eine E-Mail-Weiterleitungsregel definiert wurde).

    Erforderliche Rolle: sn_sec_cmn.write

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn ein Mitarbeiter auf eine verdächtige E-Mail-Adresse stößt, sollte er sie als Anhang an Ihre Phishing-E-Mail-Adresse weiterleiten. Wenn die angehängte E-Mail mit einer Regel übereinstimmt, die eine Bedrohung definiert, wird ein Security Incident erstellt.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Vom Anwender Gemeldetes Phishingan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder nach Bedarf aus.
      Tabelle : 6. Formular „E-Mail-Übereinstimmungsregeln“
      Feld Beschreibung
      Name Name für diese E-Mail-Übereinstimmungsregel. Beispiel: Vom Anwender gemeldetes Phishing.
      Bedingungen Verwenden Sie den Bedingungsgenerator Dient zur Validierung, ob eine E-Mail, die an die Phishing-E-Mail-Adresse Ihres Unternehmens gesendet wird, ein Phishing-Angriff ist. Siehe folgendes Beispiel.
    4. Klicken Sie auf Absenden.

    Beispiel

    Dieses Beispiel zeigt eine Übereinstimmungsregel für die Behandlung von vom Anwender gemeldetem Phishing.
    Abbildung : 4. Beispiel für E-Mail-Übereinstimmungsregel
    E-Mail-Übereinstimmungsregel