Vorlage für Security Incident Rogue-Server oder Service-Workflow

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Mit der Vorlage „Security Incident – Rogue-Server“ oder „Service – Vorlage“ können Sie eine Reihe von Aufgaben ausführen, die für die Verarbeitung von Aktivitäten von nicht autorisierten Servern oder Services konzipiert sind, die sich auf Ihr Netzwerk auswirken.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn Kategorie In einem Security Incident ist auf festgelegt Nicht autorisierter Server oder Service . Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Nicht autorisierter Server oder Service
    Vorlage für nicht autorisierten Server oder Service-Workflow

    Prozedur

    1. Öffnen Sie den Security Incident für diesen potenziellen Angriff, oder Erstellen Sie einen neuen Security Incident .
    2. In Kategorie , Wählen Sie aus Nicht autorisierte Server- oder Serviceaktivität .
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie Antwortaufgaben Zugehörige Liste.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Jedes Mal, wenn der Datensatz gespeichert wird, bewirkt Ihre Antwort auf die vorherige Aufgabe, dass entweder die nächste Antwortaufgabe erstellt oder der Workflow beendet wird
      Tabelle : 1. Antwortaufgaben in Rogue-Server oder Servicevorlage
      Antwortaufgabe Aktion Ergebnisse
      Nicht autorisierter Server oder Service verifiziert? Bestimmen Sie, ob eine Verbindung mit einem nicht autorisierten Server oder Service in Ihrem Netzwerk verifiziert wurde.

      Wählen Sie in der Aufgabe aus Ja Oder Nein In Ergebnis .

      		 Wenn Sie auswählen Ja , Die folgenden zwei Aufgaben werden parallel ausgeführt:
      • Betroffene Systeme identifizieren
      • Potenzieller Datenverlust?

      Wenn Sie auswählen Nein , Der Flow endet.
      Betroffene Systeme identifizieren Bestimmen Sie die Systeme, die vom Kontakt mit dem nicht autorisierten Server oder Service betroffen sind. Wenn diese Aufgabe abgeschlossen ist, wird System(e) aktualisieren – Entfernen Sie nicht autorisierte Verbindungen Aufgabe wird ausgeführt.
      Potenzieller Datenverlust? Bestimmen Sie, ob die Verbindung mit dem nicht autorisierten Server oder Service zu einem potenziellen Datenverlust geführt hat.

      Wählen Sie in der Aufgabe aus Ja Oder Nein In Ergebnis .

      		 Wenn Sie auswählen Ja , Erstellen Sie einen Incident für potenziellen Datenverlust Aufgabe wird ausgeführt.

      Wenn Sie auswählen Nein , System(e) aktualisieren – Entfernen Sie nicht autorisierte Verbindungen Aufgabe wird ausgeführt.
      Erstellen Sie einen Incident für potenziellen Datenverlust Führen Sie die erforderlichen Schritte aus, um einen Security Incident für den potenziellen Datenverlust zu erstellen. Wenn diese Aufgabe abgeschlossen ist, wird System(e) aktualisieren – Entfernen Sie nicht autorisierte Verbindungen Aufgabe wird ausgeführt.
      System(e) aktualisieren – Entfernen Sie nicht autorisierte Verbindungen Führen Sie die erforderlichen Schritte aus, um die nicht autorisierten Verbindungen zu entfernen. Wenn diese Aufgabe abgeschlossen ist, wird Legen Sie den Status auf „Überprüfen“ fest Aufgabe wird ausgeführt.
      Legen Sie den Status auf „Überprüfen“ fest Keine Aktion erforderlich. Die Status Des Security Incidents wird automatisch in geändert Überprüfen , Und Besprechung mit gelernten Lektionen Aufgabe wird ausgeführt.
      Besprechung mit gelernten Lektionen Führen Sie ein Meeting mit gelernten Lektionen durch, um die für diesen nicht autorisierten Server oder Service-Incident ausgeführte Arbeit zu selektieren.

      Aktualisieren Sie Status Feld in der Aufgabe entsprechend.

      		 Wenn diese Aufgabe abgeschlossen ist, endet der Flow.