Aus Events und Warnungen erstellte Security Incidents

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Wenn Events aus Warnungsüberwachungstools importiert werden, werden sie zuerst von Ereignismanagement verarbeitet und in Warnungen gruppiert. Diese Warnungen können verwendet werden, um Security Incidents basierend auf anpassbaren Warnungsregeln zu erstellen, oder manuell überprüft werden, um die Warnungen auszuwählen, die als Security Incident untersucht werden sollen.

    Eine Beispielwarnungsregel namens Create security incidents from critical alerts (Sicherheit Incidents aus kritischen Warnungen erstellen) finden Sie im Modul WarnungsregelnEreignismanagement der Anwendung []. Diese Warnungsregel erstellt automatisch Security Incidents, wenn kritische sicherheitsbezogene Ereignisse von ServiceNow oder von Überwachungsanwendungen von Drittanbietern empfangen werden. Nachdem der Security Incident erstellt wurde, wird er aktualisiert, wenn neue Events eingehen. Sie können die Aufgabenvorlage in der Warnungsregel ändern, um die Anfangswerte für den von dieser Warnungsregel erstellten Security Incident zu ändern. Um die verschiedenen Arten von Security Incidents zu behandeln, die Sie erstellen möchten, können Sie andere Warnungsregeln mit anderen Bedingungen definieren.

    Wenn Sie ein Benutzer mit der Rolle „Sicherheitsadministrator“ sind, können Sie einen Security Incident manuell erstellen, indem Sie in einer verdächtigen Warnung auf die Schaltfläche Security Incident erstellen klicken.

    Es ist wichtig, dass die von externen Tools empfangenen Events die folgenden Informationen enthalten:
    • Der Knoten, der auf den Namen, die IP-Adresse oder die sys_id des CI festgelegt ist, das zur betroffenen Ressource wird.
    • Die Event-Klassifizierung ist auf Sicherheit festgelegt, um sie von anderen IT-Events zu unterscheiden.
    • Die Event-Beschreibung, die die Beschreibung des Security Incident ausfüllt.
    • Die zusätzlichen Informationen können zusätzliche Informationen enthalten, die nicht in die zuvor aufgeführten Felder oder andere Event-Felder passen, z. B. Kategorie, Angriffsvektoren, Rückgabe-URL oder Korrelations-ID. Das Format ist eine Zeichenfolge, die Feldnamen zusammen mit ihren Werten im folgenden JSON-Format auflistet:
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Hinweis:
    Wenn für jedes Feld- und Wertepaar das Feld im Security Incident, in dem der Spaltenname mit fieldName übereinstimmt, leer ist, wird es auf fieldValue festgelegt. Wenn das Feld im Security Incident nicht leer ist, wird es nicht geändert. In beiden Fällen werden das Event und alle in den zusätzlichen Informationen codierten Felder und Werte in einem Arbeitsnotizeneintrag aufgezeichnet, der das Event beschreibt. Wenn sich am Security Incident nichts ändert, wird kein Arbeitsnotizeintrag erstellt. Alle Felder in einem Security Incident, einschließlich benutzerdefinierter Felder, die Sie der Tabelle hinzufügen, können festgelegt werden.