Andere zusätzliche Security Incident Response Setup-Aufgaben

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Wenn Sie ein Administrator in der globalen Domäne sind, konfigurieren Sie wie Security Incident Response Verarbeitet tägliche Vorgänge.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:

    Diese Optionen sind Standard für viele Servicemanagement-Anwendungen und verwenden daher Servicemanagement-Terminologie. Beispielsweise wird „Anforderung“ für die Hauptaufgabe (also den Security Incident) und „Aufgabe“ für Teilaufgaben oder Antwortaufgaben verwendet.

    Wenn Sie ein Administrator in einer Domäne unterhalb der globalen Domäne sind, können Sie den Bildschirm „Konfigurationen“ anzeigen, die Einstellungen jedoch nicht ändern.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Konfigurationan.
      Die Optionen zum Konfigurieren der Anwendungen sind unter diesen Registerkarten organisiert:
      • Die Registerkarte Geschäftsprozess enthält Optionen für das Einrichten des Anforderungslebenszyklus, das Erstellen von Katalogen und Anforderungen und das Konfigurieren von Benachrichtigungen.
      • Die Registerkarte Zuweisung enthält Optionen für die Einrichtung der manuellen und automatischen Zuweisung.
      • Die Registerkarte Add-Ons enthält Optionen zum Aktivieren der Wissensdatenbank, verwalteter Dokumente und von Aufgabenaktivitäten.
    2. Füllen Sie die Felder im aus Geschäftsprozess Registerkarte.
      Tabelle : 1. Konfigurationsbildschirm – Registerkarte „Geschäftsprozess“
      Feld Beschreibung
      Lebenszyklus
      Zum Schließen oder Abbrechen einer Anforderung oder Aufgabe sind Arbeitsnotizen erforderlich. Aktivieren Sie diese Option, damit der Anwender Arbeitsnotizen eingeben muss, bevor ein Security Incident oder eine Antwortaufgabe geschlossen oder abgebrochen werden kann.
      Arbeitsnotizen zur Aufgabe in die Anforderung kopieren Aktivieren Sie diese Option, um die Arbeitsnotizen der Antwortaufgabe mit den Arbeitsnotizen zum Security Incident zu synchronisieren. Wenn Arbeitsnotizen in der Aufgabe hinzugefügt werden, werden dieselben Arbeitsnotizen im übergeordneten Security Incident angezeigt.
      Katalog- und Anforderungserstellung
      Anforderungen per eingehender E-Mail erstellen und aktualisieren Aktivieren Sie diese Option, um Security Incidents aus eingehenden E-Mails zu erstellen oder zu aktualisieren.
      Anforderungen werden erstellt mit Wählen Sie Aus Katalog- oder reguläres Formular Um den Katalog zu aktivieren und die automatische Veröffentlichung von Security Incident-Vorlagen im Katalog zu aktivieren.

      Wählen Sie Aus Nur reguläres Formular Zum Deaktivieren des Katalogs und zum Deaktivieren der automatischen Veröffentlichung von Security Incident-Vorlagen im Katalog.
      Mit Vorlagen wird ein eigenes Katalogelement erstellt. Aktivieren Sie diese Option, um die automatische Veröffentlichung von Katalogelementen für die Anwendung zu aktivieren.
      Benachrichtigungen
      Senden Sie bei einer Anforderung oder Aufgabe, wenn sich das ausgewählte Feld ändert, eine Benachrichtigung an die Empfänger Sie können Benachrichtigungen konfigurieren, die an bestimmte Empfänger gesendet werden, wenn sich ausgewählte Felder in Security Incidents und Antwortaufgaben ändern.
      1. Von Tabelle , Wählen Sie aus Anforderung (Security Incident Oder Aufgabe (Antwortaufgabe) .
      2. Wählen Sie unter Feld das Feld zum Generieren von Benachrichtigungen aus. Wenn eine Änderung am ausgewählten Feld vorgenommen wird, wird eine Benachrichtigung an die identifizierten Empfänger gesendet.
      3. Von Empfänger , Wählen Sie einen oder mehrere Empfänger aus.
      4. Wenn ein bestimmter Benutzer oder eine bestimmte Gruppe ausgewählt ist, werden Sie aufgefordert, einen Benutzer oder eine Gruppe auszuwählen.
      5. Um weitere Benachrichtigungen mit anderen Feldern oder Empfängern zu definieren, wiederholen Sie die vorherigen Schritte für den nächsten Satz von Benachrichtigungseinstellungen.
      6. Klicken Sie auf , um eine Benachrichtigung zu entfernen Benachrichtigungssymbol löschenSymbol rechts neben der Benachrichtigung.
    3. Klicken Sie auf die Registerkarte Zuweisung, und füllen Sie die Felder aus.
      Tabelle : 2. Konfigurationsbildschirm – Registerkarte „Zuweisung“
      Feld Beschreibung
      Zuweisungsmethode für Anforderungen Wählen Sie die Methode für die Zuweisung von Security Incidents aus:
      • Automatische Zuweisung wird verwendet : Security Incidents werden automatisch zugewiesen.
      • Mithilfe eines Workflows : Security Incidents werden vom ausgewählten Workflow zugewiesen.
      • Manuell : Security Incidents werden manuell zugewiesen.
      Diesen Workflow zur Zuweisung von Anforderungen verwenden Wählen Sie den Workflow für das Versenden von Security Incidents aus. Dieses Feld wird angezeigt, wenn Mithilfe eines Workflows Ist aus ausgewählt Zuweisungsmethode für Anforderungen Liste.
      Zuweisungsmethode für Aufgaben Wählen Sie die Methode für die Zuweisung von Antwortaufgaben aus:
      • Automatische Zuweisung wird verwendet : Antwortaufgaben werden automatisch zugewiesen.
      • Mithilfe eines Workflows : Antwortaufgaben werden vom ausgewählten Workflow zugewiesen.
      • Manuell : Antwortaufgaben werden manuell zugewiesen.
      Verwenden Sie diesen Workflow, um Aufgaben zuzuweisen Wählen Sie den Workflow für die Zuweisung von Antwortaufgaben aus. Dieses Feld wird angezeigt, wenn Mithilfe eines Workflows Ist aus ausgewählt Zuweisungsmethode für Aufgaben Liste.
      Anforderungen oder Aufgaben basierend auf Abdeckungsgebieten von Zuweisungsgruppen zuweisen Aktivieren Sie diese Option, um die Zuweisung von Security Incidents und Antwortaufgaben auf Gruppen zu beschränken, die den Standort der Aufgabe abdecken.
      Zeitplanung
      Bei der automatischen Auswahl von Service Desk-Mitarbeitern wird die Zeitzone für Aufgaben berücksichtigt Aktivieren Sie diese Option, um die Zeitzone des Mitarbeiters zu berücksichtigen, wenn Sie eine Aufgabe zuweisen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Zusätzliche Faktoren
      Bei der automatischen Auswahl von Service Desk-Mitarbeitern wird der Standort von Service Desk-Mitarbeitern berücksichtigt Aktivieren Sie diese Option, um Service Desk-Mitarbeitern, die näher am Aufgabenstandort sind, beim Zuweisen von Aufgaben Vorrang zu geben. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Bei der automatischen Auswahl von Mitarbeitern für Aufgaben werden bestimmte Kompetenzen vorausgesetzt. Wählen Sie den Grad aus, in dem die Kompetenzen von Service Desk-Mitarbeitern bei der Bestimmung der automatischen Zuweisung mit einer Aufgabe abgeglichen werden müssen.
      • Wählen Sie Aus Alle Damit muss ein zugewiesener Service Desk-Mitarbeiter über alle Kompetenzen verfügen, um die Aufgabe auszuführen. Ein Service Desk-Mitarbeiter, dem nur eine Kompetenz fehlt, wird eliminiert.
      • Wählen Sie Aus Einige Wenn Sie Service Desk-Mitarbeiter möchten, die über die meisten erforderlichen Kompetenzen verfügen, um die Aufgabe auszuführen.
      • Wählen Sie Aus Keine Wenn Sie Service Desk-Mitarbeiter automatisch zuweisen möchten, ohne Kompetenzen zu berücksichtigen. Dieses Feld wird angezeigt, wenn die automatische Zuweisung für Security Incidents oder Antwortaufgaben ausgewählt ist.
      Bei der automatischen Auswahl wird versucht, allen Aufgaben in einer Anforderung denselben Service Desk-Mitarbeiter zuzuweisen Aktivieren Sie diese Option, um alle Antwortaufgaben für einen Security Incident automatisch demselben Service Desk-Mitarbeiter zuzuweisen.
    4. Klicken Sie auf die Registerkarte Add-ons, und füllen Sie die Felder aus.
      Tabelle : 3. Konfigurationsbildschirm – Registerkarte „Add-ons“
      Feld Beschreibung
      Dokumentation
      Eigene Knowledge Base aktivieren Aktivieren Sie diese Option, um die Knowledge Base für zu aktivieren Security Incident Response.
      Verwaltete Dokumente aktivieren Aktivieren Sie diese Option, um eine zugehörige Liste zu den verwalteten Dokumenten hinzuzufügen.
      Aufgabenaktivitäten aktivieren Aktivieren Sie diese Option, um Aufgabeninteraktionen und -Kommunikation wie Telefonanrufe und E-Mail-Nachrichten zu protokollieren.
    5. Klicken Sie auf Speichern.

    Sperren Sie die Sicherheitsverwaltung

    Um Untersuchungen zu schützen und Security Incidents privat zu halten, können Sie einschränken Security Incident Response Zugriff auf sicherheitsspezifische Rollen und ACLs. Administratoren, die nicht sicherheitsbezogen sind, können Zugriff verweigert werden, es sei denn, Sie lassen ihnen ausdrücklich den Eintritt zu.

    Vorbereitungen

    Wenn Security Incident Response Die Anwendung ist aktiviert, und dem Systemadministrator wird standardmäßig die Rolle sn_si.admin gewährt. Der Systemadministrator ist der einzige Administrator, der Sicherheitsgruppen und -Anwender einrichten kann.

    Für Zugriff auf ist eine Sicherheitsrolle erforderlich Security Incident Response Funktionen und Datensätze.

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Nach Security Incident Response Plugin wurde aktiviert. Ein Anwender mit der Administratorrolle weist mindestens einem Anwender die Rolle „Bereichsbezogener Administrator“ (sn_si.admin) zu.
    2. Der Anwender mit der Administratorrolle ändert sich in den Bereich Security Incident.
    3. Navigieren zu Alle > sys_Store_App.listan.
    4. Typ sn_si In Umfang Feld.
      Systemanwendungen.
    5. Klicken Sie Auf Security Incident Response .
    6. Scrollen Sie nach unten zu Zugehörige Links Und klicken Sie auf Entfernen Sie aus der Rolle des Administrators .
    7. Melden Sie sich ab, und melden Sie sich erneut an.
      Der Administratoranwender kann nicht auf zugreifen Security Incident Response Anwendung.

    Verwalten Sie Eingeschränkten Anruferzugriff

    Mit der RCA-Funktion (Restricted Caller Access) kann ein Administrator den bereichsübergreifenden Zugriff auf eine Anwendung oder Anwendungsressource definieren und Zugriffsanforderungen zulassen oder verweigern. Diese Funktion ist in aktiviert Security Incident Response Standardmäßig können Sicherheitsanalysten vertrauliche sicherheitsbezogene Informationen schützen.

    Ein Feld namens Anruferzugriff Wurde allen Tabellen und Skripteinbindungen in hinzugefügt Security Incident Response, Und das Feld ist standardmäßig auf festgelegt Anrufernachverfolgung . Diese Einstellung bedeutet, dass Anwendungsbereiche Zugriff auf haben Security Incident Response Tabellen und Skripteinbindungen. Für jeden Datensatz wird jedoch ein Nachverfolgungsdatensatz erstellt und in der Tabelle „eingeschränkte Anruferzugriffsberechtigung“ [sys_Restricted_caller_Access] gespeichert.
    Hinweis:
    Gehen Sie beim Ändern von Datensätzen von vorsichtig vor Anrufernachverfolgung Bis Anrufer Eingeschränkt . Auf Datensätze mit diesem Status kann erst zugegriffen werden, wenn ein Administrator den Zugriff manuell zulässt. Der Administrator muss zu navigieren Systemanwendungen > Anwendung – Eingeschränkter Aufruferzugriff, Suchen Sie die Tabelle oder Skripteinbindung, für die Zugriff angefordert wurde, und ändern Sie den Status Feld von Angefordert Bis Zulässig .

    Schnellstarttests für Security Incident Response ausführen

    Validieren Sie dies Security Incident Response Funktioniert weiterhin, nachdem Sie Konfigurationsänderungen vorgenommen haben, z. B. das Anwenden eines Upgrades oder die Entwicklung einer Anwendung. Kopieren Sie diese Schnellstarttests und passen Sie sie an, um sie bei der Verwendung Ihrer instanzspezifischen Daten zu übergeben.

    Security Incident Response-Schnellstarttests erfordern die Aktivierung des Plugins „Security Incident Response“ (com.snc.security_incident) und das Laden der Demodaten.

    Tabelle : 4. Security Incident Response-Tests
    Test Beschreibung Release-Version
    SIR: Sicherheitsincident erstellen Ermittelt, ob ein Benutzer einen Sicherheitsincident erfolgreich aus dem Sicherheitsincident-Formular erstellen kann. Madrid
    SIR: Sicherheitsincident über den Sicherheitsincident-Katalog erstellen Ermittelt, ob ein Benutzer einen Sicherheitsincident erfolgreich aus dem Katalog erstellen kann. Madrid
    SIR: Lebenszyklus des Sicherheitsincident Validiert die Antwortaufgaben des Richtlinienverletzungs-Workflows. Madrid
    SIR: OOTB-Konfigurationstest für PIR-Bewertungen Mit diesem Test können Sie PIR-Bewertungen und Basissystemkonfigurationen validieren. Tokyo
    SIR: Bedingte Konfigurationstests für PIR-Bewertungen

    Verifiziert, dass Security Incidents, die der obligatorischen bedingten Regel entsprechen, erst geschlossen werden, wenn die Bewertung nach dem Incident abgeschlossen ist.

    Verifiziert, dass Security Incidents, die der optionalen bedingten Regel entsprechen, geschlossen werden können, wenn die Bewertung nach dem Incident abgeschlossen ist.

    Verifiziert, dass für Security Incidents, die keiner Regel entsprechen, keine Bewertungen generiert werden.

    		 Tokyo
    SIR: PIR-Laufzeit-Experience Überprüft, ob PIR-Berichte gemäß dem neuen Design konfiguriert und an Sicherheits-Incidents angehängt werden. Tokyo
    SIR: PIR-Designzeit-Experience Überprüft, ob der Sicherheit-Incident je nach Administratorkonfiguration der Berichtsvorlage zugeordnet wird. Tokyo
    SIR: Security Incident mit einem vorhandenen schwerwiegenden Security Incident verknüpfen Verknüpfen Sie einen Security Incident mit einem vorhandenen schwerwiegenden Security Incident, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Tokyo
    SIR: Security Incident als schwerwiegenden Security Incident hochstufen Stufen Sie einen Security Incident zu einem schwerwiegenden Security Incident hoch, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Tokyo
    SIR: Security Incident als schwerwiegenden Security Incident vorschlagen Schlagen Sie einen Security Incident als einen schwerwiegenden Security Incident vor, und validieren Sie die Daten, die aus dem Security Incident per Rollup zum schwerwiegenden Security Incident zusammengefasst werden. Tokyo
    SIR: Lebenszyklus des Sicherheitsincident Validieren Sie einen Lebenszyklus von Security Incidents mit dem Workflow für Antwortaufgaben für Richtlinienverstöße. Yokohama
    SIR: Sicherheitsfall erstellen Erstellen Sie einen Sicherheitsfall aus dem Formular „Security Incident“. Yokohama
    Verifiziert, dass nur zulässige Mitglieder auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist Verifiziert, dass nur die zulässigen Mitglieder auf den Security Incident zugreifen können, wenn „Beschränkung erzwingen“ aktiviert ist. Yokohama
    Stellen Sie sicher, dass Security Incident, der mit „Einschränkung erzwingen“ aktiviert ist, für keinen Anwender sichtbar ist Stellen Sie sicher, dass Security Incident, der mit „Einschränkung erzwingen“ aktiviert ist, für keinen Anwender sichtbar ist. Yokohama
    Lesezugriff validieren Validieren Sie den Anzeigezugriff. Yokohama
    Schreibzugriff validieren Validieren Sie den Bearbeitungszugriff. Yokohama
    SIR-Arbeitsbereich: Lesezugriff Stellen Sie sicher, dass der Lesezugriff-Anwender den Security Incident anzeigen kann, ohne über Sicherheitsrollen selbst im Arbeitsbereich zu verfügen. Yokohama
    SIR-Arbeitsbereich: Schreibzugriff Stellen Sie sicher, dass der Schreibzugriff-Anwender den Security Incident aktualisieren kann, ohne über Sicherheitsrollen zu verfügen. Yokohama
    SIR-Arbeitsbereich: Neuen Security Incident erstellen Erstellen Sie einen neuen Security Incident aus dem Arbeitsbereich. Yokohama
    SIR-Arbeitsbereich: Antwortaufgabe erstellen Erstellen Sie eine neue Antwortaufgabe aus einem vorhandenen Security Incident. Yokohama
    Now Assist für Sicherheit: Zusammenfassung aktiver Security Incidents Fassen Sie einen aktiven Security Incident zusammen, und validieren Sie die angezeigten Abschnitte. Zurich

    Now Assist für Sicherheit: Zusammenfassung von Security Incidents_Share zu Arbeitsnotizen

    		 Geben Sie die generierte Zusammenfassung für Arbeitsnotizen frei. Zurich
    Now Assist für Sicherheit: Zusammenfassung geschlossener Security Incidents Fassen Sie einen geschlossenen Security Incident zusammen, und validieren Sie die angezeigten Abschnitte. Zurich