Workflow-Vorlage Security Incident Reconnaissance

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Erkundung ist normalerweise ein vorläufiger Schritt zu einem weiteren Angriff, der darauf abzielt, ein Gerät oder System auszunutzen. Mit der Vorlage „Security Incident – Erkundung – Vorlage“ können Sie eine Reihe von Aufgaben ausführen, die auf die Erkundung in Ihrem Netzwerk ausgelegt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn die Kategorie in einem Security Incident auf Erkundungsaktivitätfestgelegt wird. Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Aufklärungsaktivität
    Vorlage für Erkundungs-Workflow

    Prozedur

    1. Öffnen Sie den Security Incident für diesen potenziellen Angriff, oder erstellen Sie einen neuen Security Incident.
    2. Wählen Sie unter Kategoriedie Aktivität Reconnaissance aus.
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie die zugehörige Liste Antwortaufgaben.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Jedes Mal, wenn der Datensatz gespeichert wird, führt Ihre Antwort auf die vorherige Aufgabe entweder dazu, dass die nächste Antwortaufgabe erstellt wird, oder der Workflow beendet wird.
      Tabelle : 1. Antwortaufgaben in der Reconnaissance-Vorlage
      Antwortaufgabe Aktion Ergebnisse
      Erkundungsaktivität verifiziert? Stellen Sie fest, ob eine beobachtete Erkundung verifiziert wurde.

      Wählen Sie in der Aufgabe Ja oder Nein in Ergebnisaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe Betroffene Systeme identifizieren ausgeführt.

      Wenn Sie Neinauswählen, wird der Flow beendet.
      Identifizieren Sie betroffene Systeme Bestimmen Sie die von der Erkundung betroffenen Systeme. Wenn diese Aufgabe abgeschlossen ist, wird das Feld Reconnaissance für die Analyse der Strafverfolgung zulassen? Aufgabe wird ausgeführt.
      Erkundung für Strafverfolgungsanalyse zulassen? Legen Sie fest, ob die Erkundung von den Strafverfolgungsbehörden analysiert werden soll.

      Wählen Sie in der Aufgabe Ja oder Nein in Ergebnisaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe „Strafverfolgungsprozess “ ausgeführt.

      Wenn Sie Neinauswählen, wird die Aufgabe „System(e) aktualisieren, um Erkundungstour zu verhindern“ ausgeführt.
      Strafverfolgungsprozess Führen Sie den von Ihrem Unternehmen definierten Strafverfolgungsprozess durch. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „System(e) aktualisieren, um Erkundungstour zu verhindern“ ausgeführt.
      Aktualisieren Sie die Systeme, um eine Erkundung zu verhindern Führen Sie die erforderlichen Schritte aus, um die von der Erkundung betroffenen Systeme zu aktualisieren. Wenn diese Aufgabe abgeschlossen ist, wird die Aufgabe „Status auf Überprüfung festlegen“ ausgeführt.
      Legen Sie den Status auf Überprüfung fest Keine Aktion erforderlich. Der Status des Security Incident wird automatisch in Überprüfunggeändert, und die Besprechungsaufgabe „Erlernte Lektionen“ wird ausgeführt.
      Besprechung der gelernten Lektionen Führen Sie eine Besprechung mit gelernten Lektionen durch, um die für diesen Erkundungs-Incident durchgeführte Arbeit zu selektieren.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Wenn diese Aufgabe abgeschlossen ist, endet der Flow.