Security Incident Response verstehen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Mit Security Incident Response(SIR) verwalten Sie den Lebenszyklus Ihrer Security Incidents von der ersten Analyse bis zur Eindämmung, Beseitigung und Wiederherstellung. Mit Security Incident Response können Sie ein umfassendes Verständnis der von Ihren Analysten durchgeführten Incident-Antwortverfahren erhalten und Trends und Engpässe bei diesen Verfahren mit analytisch gesteuerten Dashboards und Berichten verstehen.

    Sehen Sie sich dieses neunminütige Video an, um mehr über den SIR-Prozess mit zu erfahren Security Incident Response Dient zum Abwehr von Angriffen und zum Anzeigen von Sicherheitsaktivitäten in Security Incident Response Explorer.

    Integrierte Integrationen mit Cybersicherheitslösungen von Drittanbietern und von Partnern entwickelten Integrationen aus dem ServiceNow Store Aktivieren Sie die Sicherheitsautomatisierung und -Orchestration für eine effiziente und genaue Reaktion auf Incidents.

    Um Ihre Untersuchungen zu schützen und Security Incidents privat zu halten, Security Incident Response Bietet die Möglichkeit, den Zugriff auf das System auf bestimmte sicherheitsbezogene Rollen und ACLs zu beschränken. Administratoren, die nicht sicherheitsbezogen sind, können Zugriff verweigert werden, es sei denn, Sie lassen ihnen ausdrücklich den Eintritt zu.
    Hinweis:
    IT-Systemadministratoren [admin] können die Identität von ServiceNow-Anwendern annehmen. Wenn ein Administrator jedoch die Identität eines Anwenders mit einer Anwendungsadministratorrolle für Security Incident Response annimmt, kann er nicht auf Funktionen zugreifen, die von dieser Rolle gewährt werden, einschließlich Security Incidents und Profilinformationen. Der Zugriff auf Module und Anwendungen in der Navigationsleiste ist ebenfalls eingeschränkt. Außerdem kann der Administrator das Passwort eines Anwenders mit einer Anwendungsadministratorrolle für Security Incident Response nicht ändern.

    Security Incident Response-Informations-Flow

    Security Incident Response verwendet den folgenden Informationsfluss, von der Integration über die Untersuchung bis zur Lösung und Überprüfung.

    Hinweis:
    Dies ist eine interaktive Infografik. Sie können also versuchen, auf eines der Symbole oder Schritte im Bild zu klicken, um mehr über diesen Prozess oder diese Aufgabe zu erfahren.
    Security Incident Response-Flow von InformationenKlicken Sie auf dieses Bild, um mehr über SIR-Integrationen zu erfahrenKlicken Sie auf dieses Bild, um mehr über die Erstellung von Security Incidents zu erfahrenKlicken Sie auf dieses Bild, um mehr über Threat Intelligence zu erfahrenKlicken Sie auf dieses Bild, um mehr über SIR Workspace zu erfahrenKlicken Sie auf dieses Bild, um mehr über die MITRE-Angriffsfunktionen zu erfahrenKlicken Sie auf dieses Bild, um mehr über Aktivitäten zur Überprüfung nach Incident zu erfahren

    Discovery

    Security Incidents können auf folgende Arten protokolliert oder erstellt werden.
    • Aus dem Security Incident-Formular
    • Aus Ereignissen, die intern ausgelöst oder von externen Überwachungs- oder Schwachstellennachverfolgungssystemen über Warnungsregeln oder manuell erstellt werden
    • Aus externen Überwachungs- oder Nachverfolgungssystemen
    • Aus dem Servicekatalog

    Analyse

    Abhängig von der ausgewählten Ansicht, die Sie verwenden (Standard, nicht-IT-Sicherheit, Security ITIL usw.), kann das Formular „Security Incident“ eine beliebige Kombination von Schwachstellen, Incidents, Changes, Problemen, Aufgaben für das betroffene CI und die betroffenen CI-Gruppen anzeigen. Das System kann Malware, Viren und andere Schwachstellen identifizieren, indem es auf die Datenbank des National Institute of Standards and Technology (NIST) oder andere Erkennungssoftware von Drittanbietern verweist. Wenn Security Incidents gelöst werden, können Sie jeden Incident verwenden, um einen Sicherheits-Knowledge Base-artikel zur späteren Referenz zu erstellen.

    Führen Sie eine weitere Analyse mithilfe einer Business-Service-Zuordnung durch, um andere betroffene Systeme oder Business-Services zu finden, die infiziert werden können.

    Eindämmung, Beseitigung und Wiederherstellung

    Während Sie Schwachstellen überwachen und analysieren, können Sie Aufgaben erstellen und anderen Abteilungen zuweisen. Sie können eine Business-Service-Zuordnung verwenden, um Aufgaben, Probleme oder Changes für alle betroffenen Systeme, Dokumente, Aktivitäten, SMS-Nachrichten, Bridge-Aufrufe zu erstellen, und so weiter.

    Prüfung

    Nachdem der Incident gelöst wurde, können vor dem Abschluss weitere Schritte ausgeführt werden. Sie können eine Überprüfung nach Incident durchführen. Das Erstellen von Knowledge Base-Artikeln kann bei zukünftigen ähnlichen Incidents helfen. Für signifikante Incidents ist möglicherweise eine Überprüfung der Lösung nach dem Incident erforderlich. Diese Überprüfung kann verschiedene Formen annehmen. Zum Beispiel:
    • Führen Sie eine Besprechung durch, um den Incident zu besprechen und Antworten zu sammeln.
    • Schreiben Sie eine Liste von Fragen zur Lösungsüberprüfung, die für jede Kategorie oder Priorität des Incident konzipiert sind, und verteilen Sie sie an die Teams, die an einem Incident gearbeitet haben.
    • Incident-Manager können den Bericht selbst schreiben und Informationen sammeln.
    Ein Bericht zur Überprüfung der Incident-Lösung kann automatisch generiert werden, der Folgendes enthält:
    1. Eine Zusammenfassung dessen, was getan wurde
    2. Die Zeitlinie
    3. Der Typ des aufgetretenen Security Incidents
    4. Alle zugehörigen Incidents, Changes, Probleme, Aufgaben, CI-Gruppen
    5. Die Details der Lösung
    Darüber hinaus ist ein automatisiertes Umfragesystem zur Überprüfung der Lösung von Security Incidents verfügbar. Es sammelt die Namen aller Anwender, die einem Security Incident zugewiesen sind, und sendet eine anwenderdefinierte Umfrage, um Daten zur Behandlung des Incident zu sammeln. Diese Daten können dann in einem generierten Security Incident-Überprüfungsbericht verfügbar gemacht werden, den Sie in einen endgültigen Entwurf bearbeiten können. Ähnliche Daten können einem Knowledge Base-artikel hinzugefügt werden, um gelernte Lektionen und die Schritte zur Lösung ähnlicher Probleme in der Zukunft zu enthalten.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Security Incident Response-Terminologie

    Die folgenden Begriffe werden in verwendet Security Incident Response.
    Benennung Definition
    Aktiv Jeder Security Incident, der sich nicht im Status „Geschlossen“ oder „Abgebrochen“ befindet.
    Administratorsperre Die Fähigkeit zum Einschränken Security Incident Response Zugriff auf Mitarbeiter mit sicherheitsbezogenen Rollen und ACLs.
    Eingehende Sicherheitsanforderungen Anforderungen, die für Sicherheitsanforderungen mit geringer Auswirkung übermittelt werden, z. B. die Anforderung eines neuen elektronischen Abzeichens.
    Verwalten Sie Aktivitäten nach dem Incident Eine Überprüfung der Ursprünge und der Behandlung eines Security Incidents. Das endgültige Produkt ist ein Bericht nach dem Incident, der alle durchgeführten Aktionen und die Gründe für ihre Ausführung dokumentiert.
    Antwortaufgaben Aufgaben, die einem Security Incident zugewiesen sind, um Aktionen als Reaktion auf die Bedrohung nachzuverfolgen.
    Verstehen von Security Incident-Rechnern Rechner, die zum Aktualisieren von Datensatzwerten verwendet werden, wenn vorkonfigurierte Bedingungen erfüllt sind.
    Security Incident-Verzeichnisse Diagrammtyp, der Security Incident-Daten hierarchisch in Form geschachtelter Rechtecke anzeigt.
    Bedrohungssuche Eine aus dem Security Incident-Katalog übermittelte Anforderung zum Scannen von Dateien, URLs und IP-Adressen auf Malware.
    Schwachstellen-Scan Eine vom Formular „Security Incident“ initiierte Anforderung zum Scannen betroffener Ressourcen (Server, Computer und andere Konfigurationselemente) auf Schwachstellen.