Workflow-Vorlage für Security Incident Denial of Service

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Mit der Vorlage „Security Incident – Denial of Service“ können Sie eine Reihe von Aufgaben ausführen, die für die Behandlung von Denial of Service-Angriffen (DOS) konzipiert sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn Kategorie In einem Security Incident ist auf festgelegt Denial of Service . Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Denial of Service (DOS)
    Ablehnung von ServiceTemplate

    Prozedur

    1. Öffnen Sie den Security Incident für dieses Denial-of-Service-Ereignis, oder Erstellen Sie einen neuen Security Incident .
    2. In Kategorie , Wählen Sie aus Denial of Service .
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie Antwortaufgaben Zugehörige Liste.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Jedes Mal, wenn der Datensatz gespeichert wird, bewirkt Ihre Antwort auf die vorherige Aufgabe, dass entweder die nächste Antwortaufgabe erstellt oder der Flow beendet wird
      Tabelle : 1. Antwortaufgaben in Denial of Service-Vorlage
      Antwortaufgabe Aktion Ergebnisse
      Ist das Ziel geschäftskritisch? Bestimmen Sie, ob das Ziel dieses DOS-Angriffs geschäftskritisch ist.

      Wählen Sie in der Aufgabe aus Ja Oder Nein In Ergebnis .

      		 Wenn Sie auswählen Ja , Legen Sie die Priorität auf „Kritisch“ fest Aufgabe wird ausgeführt.

      Wenn Sie auswählen Nein , Wird eine Schwachstelle ausgenutzt? Aufgabe wird ausgeführt.
      Legen Sie die Priorität auf „Kritisch“ fest Keine Aktion erforderlich. Die Priorität Des Security Incidents wird automatisch in geändert Kritisch , Und Wird eine Schwachstelle ausgenutzt? Aufgabe wird ausgeführt.
      Wird eine Schwachstelle ausgenutzt? Bestimmen Sie, ob dieser DOS-Angriff eine Software-Schwachstelle ausnutzt.

      Wählen Sie in der Aufgabe aus Ja Oder Nein In Ergebnis .

      		 Wenn Sie auswählen Ja , Notfall-Patch-Anforderung Aufgabe wird ausgeführt.

      Wenn Sie auswählen Nein , Interner Angreifer? Aufgabe wird ausgeführt.
      Notfall-Patch-Anforderung Stellen Sie eine Notfall-Patch-Anforderung für die angegriffenen Systeme aus.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in geändert haben Abgeschlossen Oder Abgebrochen , Die nächste Antwortaufgabe wird ausgeführt.
      Interner Angreifer? Bestimmen Sie, ob die Quelle dieses DOS-Angriffs in Ihrer Organisation liegt.

      Wählen Sie in der Aufgabe aus Ja Oder Nein In Ergebnis .

      		 Wenn Sie auswählen Ja , Angreifende Hosts isolieren Aufgabe wird ausgeführt.

      Wenn Sie auswählen Nein , Benachrichtigen Sie DOS-Schutzanbieter und/oder ISP Aufgabe wird ausgeführt.
      Angreifende Hosts isolieren Führen Sie die erforderlichen Schritte aus, um die internen Hosts zu isolieren, die für den Angriff verantwortlich sind.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Nachdem Sie diesen Schritt abgeschlossen haben Validiert die Systemintegrität der angegriffenen Systeme Aufgabe wird ausgeführt.
      Benachrichtigen Sie DOS-Schutzanbieter und/oder ISP Führen Sie die erforderlichen Schritte aus, um sich an Ihren Denial-of-Service-Schutzanbieter und/oder Ihren Internetdienstanbieter zu wenden, um sie über den Angriff zu benachrichtigen.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in geändert haben Abgeschlossen Oder Abgebrochen , Die nächste Antwortaufgabe wird ausgeführt.
      Validiert die Systemintegrität der angegriffenen Systeme Führen Sie die erforderlichen Schritte aus, um die Integrität der angegriffenen Computer zu bewerten und zu validieren.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in geändert haben Abgeschlossen Oder Abgebrochen , Die nächste Antwortaufgabe wird ausgeführt.
      Überprüfen Sie die DOS-Schutzmaßnahmen Überprüfen Sie Ihre vorhandenen DOS-Schutzmaßnahmen und -Verfahren. Führen Sie alle erforderlichen Änderungen durch.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in geändert haben Abgeschlossen Oder Abgebrochen , Die nächste Antwortaufgabe wird ausgeführt.
      Legen Sie den Status auf „Überprüfen“ fest Keine Aktion erforderlich. Die Status Des Security Incidents wird automatisch in geändert Überprüfen .

      Die Besprechung mit gelernten Lektionen Aufgabe wird ausgeführt.
      Besprechung mit gelernten Lektionen Führen Sie ein Meeting mit gelernten Lektionen durch, um die für diesen Denial-of-Service-Incident ausgeführte Arbeit zu selektieren.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in ändern Abgeschlossen Oder Abgebrochen , Der Flow endet.