Referenz zum Setup-Assistenten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 25 Minuten Lesedauer

    • Der Setup-Assistent führt Sie durch die Schritte, die Sie zum Einrichten des Security Incident Response Basissystems ausführen müssen. Dieser Abschnitt enthält zusätzliche Informationen zu den komplizierten Schritten, für die Sie möglicherweise weitere Erklärungen benötigen.

    Erstellen Sie eine Security Incident Response -Prozessdefinition

    Sie können eine Prozessdefinition erstellen, um zu definieren, wie Security Incidents von einem Status in den nächsten übergehen. Prozessdefinitionen geben Service Desks und Endbenutzern Hilfe bei der Nachverfolgung des Problems während des gesamten Lebenszyklus.

    Vorbereitungen

    Erforderliche Rolle: sn.si_admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Administration > Prozessdefinition.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 1. Erstellen von Prozessdefinitionen
      Feld Beschreibung
      Name Name des Datensatzes, der den in der Skripteinbindungsdatei codierten Prozess beschreibt. Der Name wird als Auswahl in der Liste Prozessdefinitionsauswahl angezeigt.
      Skripteinbindung Der Name (einschließlich des Präfix sn_si. ) der Skripteinbindung, die die Definition des Prozesses enthält. Das Skript muss sich im Anwendungsbereich Security Incident (sn_si) befinden. Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Security Incident Response Skripteinbindung für Prozessdefinitionen. Wenn dieses Feld keinen gültigen Skripteinbindungsnamen enthält, wird die Standarddefinition ProcessDefinition_NIST_Stateful verwendet.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Bestellen Bestimmt die Position in der Prozessdefinitionsliste.
      Aktiv Wenn diese Option aktiviert ist, kann diese Prozessdefinition auf der Seite „ Prozessdefinitionsauswahl “ ausgewählt werden.
    4. Klicken Sie auf Absenden.

    Security Incident Response-Prozessdefinition verstehen

    Security Incident Response Prozessdefinition ersetzt Statusabläufe und stellt Endbenutzern und Service Desks den Status eines Problems bereit. Eine Prozessdefinition hilft, das Problem während seines Lebenszyklus nachzuverfolgen. Security Incident Response ist eine Service Management (SM)-Anwendung, die über eigene Status verfügt. Ungültige Status werden als Teil von Prozessauswahlgemeldet.

    Security Incident Response – Prozessdefinition

    Die Standardprozessdefinition (NIST Stateful) definiert die folgenden Incident-Status:
    Hinweis:
    Die verfügbaren Status variieren je nach aktuellem Status des Incident.
    Tabelle : 2. Status der Security Incident-Prozessdefinition
    Status Beschreibung
    Entwurf Der Initiator der Anforderung fügt Informationen zum Security Incident hinzu, der jedoch noch nicht zur Bearbeitung bereit ist.
    Analyse Der Incident wurde zugewiesen, und das Problem wird analysiert.
    Eindämmen Das Problem wurde identifiziert, und das Sicherheitspersonal arbeitet daran, es einzudämmen und Schadensbegrenzung durchzuführen. Zu diesen Aktionen gehören das Offlineschalten von Servern, das Trennen von Geräten vom Internet und das Überprüfen, ob Sicherungen vorhanden sind.
    Beseitigen Das Problem wurde eingedämmt, und das Sicherheitspersonal unternimmt Schritte, um das Problem zu beheben.
    Wiederherstellen Das Problem wurde gelöst, und die Betriebsbereitschaft der betroffenen Systeme wird überprüft.
    Prüfung Der Security Incident ist abgeschlossen, und alle Systeme funktionieren wieder normal. Eine Überprüfung nach dem Incident ist jedoch noch erforderlich.
    Geschlossen Der Incident ist abgeschlossen, aber bevor ein Security Incident geschlossen werden kann, müssen Sie die Informationen auf der Registerkarte Abschlussinformationen ausfüllen.

    Prozessdefinitionen für Security Incident-Aufgaben

    Die folgenden Prozessdefinitionen werden für Security Incident-Aufgaben verwendet.

    Tabelle : 3. Status der Aufgabenprozessdefinition
    Status Beschreibung
    Bereit Die Aufgabe kann bearbeitet werden, nachdem sie einem Service Desk-Mitarbeiter zugewiesen wurde.
    Zugewiesen Die Aufgabe wird einem Service Desk-Mitarbeiter zugewiesen.
    In Bearbeitung Der zugewiesene Service Desk-Mitarbeiter arbeitet an der Aufgabe.
    Abgeschlossen Die Aufgabe ist abgeschlossen.
    Abgebrochen Die Aufgabe wurde abgebrochen.

    NIST unterstützt die folgenden zwei Modelle:

    • NIST Stateful

      Mit dieser Prozessdefinition können Analysten in sequenzieller Reihenfolge von einem Status in einen anderen wechseln, ohne einen Schritt zu überspringen. Wenn der Analyst beispielsweise mit dem Status „ Entwurf “ beginnt, lautet die sequenzielle Reihenfolge dieser Prozessdefinition „ Entwurf“ >„Analyse“> „Eindämmen“ > „Beseitigen“ > „Wiederherstellen“. Daher ist die Stateful-Prozessdefinition des NIST unidirektional und ermöglicht es Analysten, nur zu den Vorwärtsstatus zu gelangen.

      Hier ein weiteres Beispiel: Wenn der Analyst mit dem Status „Analyse“ beginnt, lautet die sequenzielle Reihenfolge dieser Prozessdefinition „Analyse“> „Eindämmen“ > „Beseitigen“ > „Wiederherstellen“.

    • NIST Open

      Diese Prozessdefinition ermöglicht es Analysten, von einem Status in einen anderen zu wechseln, entweder vorwärts oder rückwärts. Wenn der Analyst beispielsweise mit dem Status „Analyse“ beginnt, kann die Reihenfolge der Prozessdefinition entweder „ Analyse“> „Eindämmen“ > „Beseitigen“ > „Wiederherstellen “ oder „Analyse>Entwurf“ sein. Daher ist die NIST Open-Prozessdefinition bidirektional und ermöglicht es Analysten, je nach ihren Anforderungen in den Status „Vorwärts“ oder „Rückwärts“ zu wechseln.

    Prozessauswahl für Security Incident Response

    Prozessauswahl listet Prozesse mit ungültigen Status für Security Incidents und Antwortaufgaben auf.

    Ein Administrator kann den Incident oder die Aufgabe entweder manuell oder mithilfe eines Skripts in einen gültigen Status versetzen. Eine leere zugehörige Liste (keine Incidents; keine Aufgaben) gibt an, dass sich jede aktive Aufgabe in einem gültigen Status befindet. Die verfügbaren Status variieren je nach aktuellem Status des Incident. Weitere Informationen finden Sie unter Korrektur ungültiger Status von Security Incidents oder Aufgaben mit Prozessdefinitionen.

    Beispiel für Prozessdefinitionsauswahl
    Wählen Sie eine Security Incident Response Prozessdefinition aus

    Sie können die Prozessdefinition auswählen, die für die entsprechenden Status für Security Incidents und Reaktionsaufgaben Ihres Unternehmens verwendet werden soll.

    Vorbereitungen
    Erforderliche Rolle: admin und sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Prozedur
    1. Navigieren zu Alle > Security Incident Response > Administration > Prozessauswahl.
    2. Klicken Sie auf das Suchsymbol, um die verfügbaren Prozessdefinitionen aufzulisten.
      Prozessdefinitionsauswahl
    3. Wählen Sie eine Prozessdefinition aus.
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine benutzerdefinierte Security Incident Response Skripteinbindung für Prozessdefinitionen

    Erstellen Sie ein benutzerdefiniertes Prozessdefinitionsskript für die entsprechenden Status für Security Incidents und Reaktionsaufgaben Ihres Unternehmens.

    Vorbereitungen
    Erforderliche Rolle: sn_si.admin
    Warum und wann dieser Vorgang ausgeführt wird
    Die Hauptskripteinbindung sn_si.ProcessDefinition steuert Prozessdefinitionen. Prozessdefinition bestimmt, welche Definition verwendet wird (mithilfe der Prozessauswahl). Sie ruft die entsprechende Skripteinbindungsdatei auf, um die Anfangsstatus und Übergänge für Security Incidents und Antwortaufgaben zu bestimmen.
    Prozedur
    1. Navigieren zu Alle > Systemdefinition > Skripteinbindungen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder entsprechend aus.
      Tabelle : 4. Erstellen von Prozessdefinitionen
      Feld Beschreibung
      Name Name dieser Skripteinbindung.
      API-Name Erstellt basierend auf dem Namen der Skripteinbindung.
      Vom Client aufrufbar Macht die Skripteinbindung für Client-Skripts, Listen- und Berichtsfilter, Referenzqualifizierer oder, verfügbar, falls, als Teil der URL angegeben ist.
      Anwendung Security Incident
      Zugänglich von Wählen Sie Nur Dieser Anwendungsbereich aus .
      Aktiv Wenn diese Option aktiviert ist, kann diese Skripteinbindung auf der Seite „ Prozessdefinition “ ausgewählt werden.
      Beschreibung Hilfreiche Informationen zur Skripteinbindung.
      Skript Definiert das serverseitige Skript, das ausgeführt werden soll, wenn es von anderen Skripts aufgerufen wird.

      Das Skript muss eine einzelne JavaScript-Klasse oder eine globale Funktion definieren. Der Klassen- oder Funktionsname muss mit dem Wert im Feld Name übereinstimmen.

      Weitere Informationen zu Skriptinhalten finden Sie unter Prozessdefinition Skripteinbindung.
      Formular „Prozessdefinition Skripteinbindung“.
    4. Klicken Sie auf Absenden.
    Prozessdefinition Skripteinbindung

    Die Skripteinbindung „Prozessdefinition“ stellt Methoden zum Definieren einer Prozessdefinition bereit.

    Implementieren Sie die hier beschriebenen Konstanten, Attribute, Arrays und Methodenaufrufe, um eine Skripteinbindung für Prozessdefinitionen anzupassen.

    Verwendungszweck

    Verwenden Sie diese Skripteinbindung, um eine Prozessdefinition zu erstellen.

    Text der Skripteinbindung
    Der Skripteinbindungstext besteht aus drei Abschnitten:
    • Konstanten: Definitionen des Anfangsstatus
    • Security Incident and Response Task: Prozessdefinitions-Arrays
    • Methodenaufrufe: Abrufen von Informationen
    Konstanten

    Konstanten werden verwendet, um die Anfangsstatus von Security Incidents und Reaktionsaufgaben zu definieren.

    Die Verwendung von Konstanten ist optional, wird jedoch aus Gründen der Lesbarkeit empfohlen. Beispiel:
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Die später von den folgenden Methoden verwendet werden:

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    Der nächste Satz von Konstanten definiert die Status für Security Incidents und Antwortaufgaben.

    Jedes Array enthält auch die Definition, welche Status verfügbar sind, wenn sich der Incident oder die Aufgabe in einem bestimmten Status befindet.

    Beispiel:
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    Das Beispiel ist ein Array von Objekten. Jedes Objekt definiert einen Status und mögliche Übergangsstatus.

    Die Reihenfolge des Statusobjekts bestimmt die gewünschte Reihenfolge für den Flow.

    Wenn sich die Aufgabe im Status „Entwurf“ befindet (Wert 1), sind folgende Status möglich: 1 (Entwurf, d. h. keine Änderung) und 10 (Bereit, nächster Schritt im Prozess).

    Es gibt keine Begrenzung für die Anzahl der Übergänge aus einem Status. Die Status „Abschließen – vollständig“ und „Abgebrochen“ sind Endstatus und weisen daher keine möglichen Statusübergänge auf.

    Die Reihenfolge der Attribute im Objekt ist nicht wichtig. Wenn es die Definition klarer macht, setzen Sie die Bezeichnung zuerst.

    Attribute
    Erforderliche Attribute in einem Statusdefinitionsobjekt sind:
    • state: numerischer Wert des Status
    • label: Visuell lesbarer Text, der dem Status zugeordnet ist
    • Auswahl: ein Array von Statuswerten, in die der Status übergehen kann (bestimmt den Inhalt der Status-Dropdown-Liste)
    Optionale Attribute:
    • obligatorisch: Liste der Feld-IDs, die in diesem Status obligatorisch werden
    • schreibgeschützt: Liste der Feld-IDs, die in diesem Status schreibgeschützt werden
    • Sichtbar: Liste der Feld-IDs, die in diesem Status sichtbar werden
    • notmandatory: Liste der Feld-IDs, die in diesem Status nicht obligatorisch werden
    • notvisible: Liste der Feld-IDs, die in diesem Status nicht mehr sichtbar wären
    Hinweis:

    Wenn optionale Attribute verwendet werden, liegt es in der Verantwortung des Autors, sicherzustellen, dass Felder zwischen den Status sichtbar/unsichtbar, obligatorisch/nicht obligatorisch, sichtbar/ausgeblendet oder schreibgeschützt gemacht werden.

    Wenn Sie beispielsweise ein Feld in einem Status ausblenden, wird es später in einem anderen Status nicht sichtbar, es sei denn, das Attribut „Sichtbar“ wird verwendet.

    Arrays der Prozess-Flow-Definition

    Um die im Prozess-Flow-Formatierer angezeigten Informationen zu definieren (die Leiste oben in den Formularen „Security Incident“ und „Antwortaufgabe“) benötigt das System Informationen darüber, was für jeden Status angezeigt werden soll.

    Beispiel:
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Das TASK_PF-Array ist eine Sammlung von Bezeichnungen, Bedingungen und Beschreibungen, die zur Bestimmung des in der Prozessformatierer-Leiste angezeigten Texts verwendet werden (einschließlich Reihenfolge und Aktivität).

    In diesem Beispiel wird der Text „Bereit“ als zweites Element angezeigt. Er wird hervorgehoben, wenn die Aufgabe die Bedingung „state=10^EQ“ erfüllt.

    Wenn der Mauszeiger über den Text bewegt wird, wird die Beschreibung „Security Incident Response-Aufgabe ist bereit zur Zuweisung“ angezeigt.

    Hinweis:

    Status können zu einem einzelnen Formatiererstatus kombiniert werden.

    Im Beispiel werden die Status „Abschließen – vollständig“ und „Abgebrochen“ in der oberen Leiste als „Geschlossen“ angezeigt.

    Methodenaufrufe
    Die folgenden Methoden müssen in der Skripteinbindung vorhanden sein, da sie von sn_si.ProcessDefinition verwendet werden:
    Rückgabetyp Methodenübersicht Beschreibung
    Zeichenfolge getInitialIncidentState: Funktion() Gibt den anfänglichen numerischen Wert des Incident-Status zurück
    Zeichenfolge getInitialTaskState: Funktion(): Gibt den numerischen Wert des anfänglichen Aufgabenstatus zurück
    Array von Zeichenfolgen getIncidentStates: Funktion(): Array des Incident-Status zurückgeben
    Array von Zeichenfolgen getTaskStates: Funktion(): gibt das Array des Aufgabenstatus zurück
    Array von Objekten getIncidentProcessFlows: Funktion(): Gibt das Definitions-Array des Incident-Prozess-Flows zurück
    Array von Objekten getTaskProcessFlows: Funktion (): Gibt das Definitions-Array des Aufgabenprozess-Flows zurück

    Die nächsten Methoden werden immer dann aufgerufen, wenn ein Incident oder eine Aufgabe aktualisiert wird, und ermöglichen Aktionen für bestimmte Change-Übergänge.

    Rückgabetyp Methodenübersicht Beschreibung
    void performIncidentStateChange: function(current, previous) In den Beispielen wird diese Methode verwendet, um SM-bezogene Werte festzulegen und sicherzustellen, dass ein Incident aus „Entwurf“ entfernt wird, sobald ihm jemand zugewiesen wurde.
    void PerformTaskStateChange: function(current, previous) Im Beispiel wird diese Methode verwendet, um Zeitstempel zu aktualisieren (bei Zuweisung und Abschluss) und die Aufgabe von „Bereit“ auf „Zugewiesen“ zu verschieben, sobald das Feld „assigned_to“ ausgefüllt ist.
    Dieselben Aktionen, die von diesen beiden Methoden ausgeführt werden, können mithilfe einer Geschäftsregel ausgeführt werden. Durch die Definition in der Skripteinbindung wird das Wechseln von Prozessdefinitionen erleichtert.

    Korrektur ungültiger Status von Security Incidents oder Aufgaben mit Prozessdefinitionen

    Ein Administrator kann den Security Incident oder die Aufgabe entweder manuell oder mithilfe eines Skripts auf gültige Status zurücksetzen. Die verfügbaren Status variieren je nach aktuellem Status des Incident.

    Vorbereitungen
    Erforderliche Rolle: admin
    Warum und wann dieser Vorgang ausgeführt wird
    Nachdem Sie die Prozessdefinitionen gewechselt haben, unterstützt die neue Definition möglicherweise einige der alten Status nicht. Um die verwaisten Incident- oder Aufgabenstatus zu korrigieren, können Sie Ihre Prozessdefinition ändern, Ihre Skripteinbindung bearbeitenoder jeden Incident oder jede Aufgabe manuell öffnen, um den Status zu aktualisieren. Im Allgemeinen ist das Aktualisieren des Status (was in großen Mengen möglich ist) die einfachste Lösung.

    Um Status in Massen zu ändern, gehen Sie wie folgt vor:

    Prozedur
    1. Navigieren zu Alle > Prozessauswahl.
    2. Markieren Sie das Feld Status für die Incidents oder Aufgaben, die Sie ändern möchten.
    3. Doppelklicken Sieauf das Feld Status im ersten Datensatz, wählen Sie den neuen Status aus, und klicken Sie auf das grüne Häkchen ( Grünes Häkchen), um die Änderung abzuschließen.
      Beispiel einer korrigierten Definition
    4. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Security Incident-Gruppe

    Richten Sie eine Security Incident-Gruppe ein, und weisen Sie ihr die entsprechenden Rollen und Benutzer zu.

    Vorbereitungen

    Erforderliche Rollen:
    • Wenn Sie die Rolle user_admin haben, können Sie Security Incident-Zuweisungsgruppen erstellen.
    • Wenn Sie die Rolle sn_si.admin haben, können Sie Security Incident-Zuweisungsgruppen erstellen und bearbeiten.

    Warum und wann dieser Vorgang ausgeführt wird

    Benutzer in einer Gruppe erben die Rollen der Gruppe, sodass Sie nicht jedem Benutzer separat Rollen zuweisen müssen.

    Es wird empfohlen, in Ihrer Organisation so viele Gruppen wie erforderlich zu erstellen. Es wird auch empfohlen, eine Gruppe für Administratoren zu erstellen und die Administratorrolle nur dieser Gruppe zuzuweisen.

    Prozedur

    1. Navigieren zu Alle > Benutzeradministration > Gruppen oder Security Incident > Setup > Gruppen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Hinweis:

      Weitere Informationen finden Sie unter Benutzergruppen erstellen.

    4. Stellen Sie sicher, dass Sie den Security Incident -Typ für diese Gruppe auswählen.
      1. Wenn das Feld Typ nicht sichtbar ist, konfigurieren Sie das Formular, um es hinzuzufügen.
      2. Klicken Sie auf das Schlosssymbol neben dem Feld Typ.
      3. Klicken Sie auf das Referenz-Suchsymbol ( Suchsymbol).
      4. Suchen Sie nach dem Security Incident -Typ, und wählen Sie ihn aus.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
    6. Fügen Sie in der zugehörigen Liste Rollen die Rollen hinzu, die jedes Mitglied dieser Gruppe erhält.
      Wenn Sie beispielsweise eine Gruppe für Security Incident Response Teammitglieder erstellen, fügen Sie sn_si.analyst hinzu. Wenn Sie eine Gruppe für Security Incident Response Administratoren erstellen, fügen Sie sn_si.admin hinzu.
    7. Fügen Sie in der zugehörigen Liste „Gruppenmitglieder“ Benutzer zu dieser Gruppe hinzu.
    8. Klicken Sie auf Aktualisieren.

    Erstellen Sie eine Rechnergruppe für Security Incidents

    Security Incident-Rechnergruppen werden zum Gruppieren von Rechnern verwendet.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Setup > Security Incident-Rechnergruppen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name des Security Incident-Rechners.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Bestellung Die Reihenfolge, in der der Security Incident Calculator ausgeführt wird. Ein Rechner mit einem Reihenfolgeeintrag von 100 wird vor einem Rechner mit einem Reihenfolgeeintrag von 200 ausgeführt.
      Beschreibung Eine Beschreibung dieser Rechnergruppe.
      Erstellt von Geben Sie den Namen des Benutzers ein, der erstellt hat
    4. Klicken Sie auf Absenden.

    Erstellen Sie einen Security Incident-Rechner

    Mit Security Incident-Rechnern können Sie den Schweregrad eines Security Incident anhand vordefinierter Formeln berechnen. Sie können nach Bedarf eigene Security Incident-Rechner definieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Setup > Security Incident-Rechnergruppen.
    2. Klicken Sie auf den Namen der Gruppe, für die Sie einen Rechner erstellen möchten, oder erstellenSie eine Rechnergruppe.
    3. Klicken Sie auf Neu.
    4. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name des Security Incident-Rechners.
      Rechnergruppe Name der Gruppe, zu der dieser Rechner gehört.
      Hinweis:
      Die Rechnergruppe kann erstellt oder geändert werden, nachdem Sie Name und Tabelleeingegeben haben.
      Tabelle

      Wählen Sie die Tabelle aus, die für diesen Rechner verwendet werden soll.

      Wenn Sie Rechner zu anderen Tabellen als „Schwachstelle“ [sn_vul_vulnerability] und „Angreifbares Element“ [sn_vul_vulnerable_item] hinzufügen, müssen Sie diesen Tabellen Geschäftsregeln und UI-Aktionen hinzufügen. So sehen Sie sich Beispiele an:
      • Navigieren zu Systemdefinition > Business-Regeln, und suchen Sie die Geschäftsregel Schweregrad berechnen in der Tabelle „Angreifbares Element“ [sn_vul_vulnerable_item].
      • Navigieren zu System-UI > UI-Aktionen, und suchen Sie die UI-Aktion „ Schweregrad berechnen“ in der Tabelle „Angreifbares Element“ [sn_vul_vulnerable_item].

      Außerdem müssen der Schwachstellenadministratorrolle vollständige Lese- und Schreibfunktionen (oder save_as_template) für jede von einem Rechner verwendete Tabelle gewährt werden, damit die auf die Vorlage anzuwendenden Werte ordnungsgemäß angezeigt werden.
      Anwendung Die bereichsbezogene Anwendung, zu der der Rechner gehört.
      Bestellung Die Reihenfolge, in der der Security Incident Calculator ausgeführt wird. Ein Rechner mit einem Reihenfolgeeintrag von 100 wird vor einem Rechner mit einem Reihenfolgeeintrag von 200 ausgeführt.
      Aktiv Schalten Sie den Rechner ein oder aus.
      Beschreibung Eine Beschreibung dieses Rechners.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Die Registerkarten Anzuwendende Bedingungen und Werte werden angezeigt.
    6. Füllen Sie die Felder auf der Registerkarte Bedingungen entsprechend aus.
      Feld Beschreibung
      Filtergruppe verwenden Aktivieren Sie diese Checkbox, um eine vordefinierte Filtergruppe zu verwenden, oder erstellen Sie eine neue Filtergruppe, um die Rechnerkriterien zu definieren.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Rechners verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn Sie das Kontrollkästchen Filtergruppen verwenden aktiviert haben.
      Erweiterte Bedingungen verwenden Aktivieren Sie diese Checkbox, um anzugeben, dass eine Skriptbedingung verwendet wird, um zu bestimmen, wann dieser Rechner angewendet wird. Wenn Sie das Kontrollkästchen aktivieren, wird das Feld Erweiterte Bedingungsskripts angezeigt.

      Wenn Sie das Kontrollkästchen Filtergruppe verwenden aktiviert haben, wird dieses Feld ausgeblendet.

      Hinweis:
      Bevor Sie erweiterte Bedingungen definieren und Skripts schreiben, um zu bestimmen, wann die Security Incident-Rechner angewendet werden, kehren Sie zur Liste der Security Incident-Rechner zurück. Erkunden Sie die Rechnerdatensätze, die im Lieferumfang des Basissystems enthalten sind.
      Bedingung Definiert grundlegende Filterbedingungen für die Bestimmung, ob der Rechner verwendet wird.

      Wenn Sie eines der Kontrollkästchen Filtergruppeverwenden oder Erweiterte Bedingungen verwenden aktiviert haben, wird dieses Feld ausgeblendet.
    7. Klicken Sie auf die Registerkarte Anzuwendende Werte und füllen Sie die Felder im Formular entsprechend aus.
      Sie haben die Möglichkeit, ein Skript zum Definieren der auf die Berechnung anzuwendenden Werte zu erstellen oder eine Vorlage basierend auf Feldern in der ausgewählten Tabelle zu definieren.
      Feld Beschreibung
      Skriptwerte verwenden Aktivieren Sie diese Checkbox, um Feldwerte mit einem Skript zu definieren.
      Skriptwerte Definiert, auf welche Werte die Berechnungen angewendet werden sollen.

      Dieses Feld wird nur angezeigt, wenn Sie das Kontrollkästchen Skriptwerte verwenden aktiviert haben.
      Vorlage Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern. Wählen Sie die Felder und Werte aus, die Sie für den Rechner verwenden möchten.
    8. Wenn Sie alle Eingaben abgeschlossen haben, klicken Sie auf Absenden.

    Security Incident-Rechner verstehen

    Security Incident-Rechner werden verwendet, um Datensatzwerte zu aktualisieren, wenn vordefinierte Bedingungen erfüllt sind. Die Rechner werden basierend auf den Kriterien gruppiert, die verwendet werden, um zu bestimmen, wie die Datensätze aktualisiert werden.

    Das Security Incident Response Basissystem enthält die folgenden Security Incident-Rechnergruppen und -Rechner. In jeder Gruppe wird der erste Rechner ausgeführt, der die Bedingungen erfüllt.

    Tabelle : 5. Security Incident-Rechner im Basissystem
    Name der Security Incident-Rechnergruppe In der Gruppe enthaltene Rechner Beschreibung
    Geschäftsauswirkung Aus Schweregradrechnern zusammenfassen Dieser Rechner wird an den Sicherheitskritikalitätsrechner delegiert, der die Relevanz durch Gewichtung der Werte anderer Felder bestimmt.
    Schweregrad Betroffenes Geschäft Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.
    Wichtiger Service betroffen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn das Konfigurationselement im Security Incident einem äußerst wichtigen Business Service zugeordnet ist, werden die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität entsprechend der Definition des Rechners erhöht.
    Kritische Serviceänderungen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe einer erweiterten Bedingung.

    Wenn der Security Incident die Bedingungen erfüllt, wird ein Skript ausgeführt, um zu definieren, auf welche Ebenen die Felder angehoben werden. Wenn das Konfigurationselement im Security Incident einem sehr kritischen oder einigermaßen kritischen Business Service zugeordnet ist, werden die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität entsprechend der Definition des Rechners erhöht.
    Multi-Attack-Vektoren Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Wenn das Konfigurationselement im Security Incident mit Angriffsvektoren aus dem Internet, E-Mail und Identitätswechsel verknüpft ist, werden die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität entsprechend der Definition des Rechners erhöht.
    Legen Sie die Priorität mit Kategorie und Services fest Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Security Incident-Priorität wird auf 1 – Kritisch festgelegt, wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, von denen einer kritisch ist.
    • Die Security Incident-Kategorie ist eine der folgenden:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie die Preisstufe „Starter Security Operation“ haben.
    Legen Sie die Priorität für erkennbare Elemente fest Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.
    Die Security Incident-Priorität wird auf 1 – Kritisch festgelegt, wenn die folgenden Bedingungen erfüllt sind:
    • Dem Security Incident sind betroffene Services zugeordnet, von denen einer kritisch ist.
    • Die Security Incident-Kategorie ist eine der folgenden:
      • Denial of Service
      • Spear-Phishing
      • Böswillige Code-Aktivität
    • Eines der zugeordneten erkennbaren Elemente oder Indikatoren weist eine Sichtungsanzahl auf, die zwei Sichtungen mit aktiven Indikatoren überschreitet (d. h. die erkennbaren Elemente oder Indikatoren werden aus mehreren Quellen als schlecht bestätigt).
    Hinweis:
    Dieser Rechner ist im Basissystem verfügbar, wenn Sie die Preisstufe „Advanced Security Operation“ haben und das Plugin „Threat Feeds“ aktivieren.
    Anwenderrelevanz Anwenderrelevanz abrufen Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines einfachen Bedingungsgenerators.

    Dieser Schweregradrechner bewirkt, dass sich die Geschäftskritikalität des Benutzers in 1 - Kritisch ändert, wenn das Feld Abteilung in Finanzengeändert wird.
    Ruft die Benutzergruppenrelevanz ab Dieser Schweregradrechner definiert seine Auswahlkriterien mithilfe eines erweiterten Bedingungsgenerators.

    Dieser Schweregradrechner enthält ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird.

    Schweregradrechner

    Wenn Sie einen Security Incident erstellen, enthalten die Felder Risikopunktzahl, Geschäftsauswirkungund Priorität Standardwerte. Wenn Sie den Incident speichern, validiert eine Geschäftsregel die Informationen im Security Incident automatisch anhand von Bedingungen, die in jedem Ihrer aktiven Schweregradrechner definiert sind. Sie werden jeweils für einen Sicherheitsrechner in der Reihenfolge validiert, die durch das Feld Reihenfolge in jedem Rechner festgelegt ist. Wenn die Informationen im Security Incident mit den in einem der Rechner definierten Bedingungen übereinstimmen, werden die Feldwerte für den Schweregrad entsprechend den im Rechner eingerichteten Regeln aktualisiert.

    Angenommen, Sie erstellen einen Security Incident für ein betroffenes CI, und das CI ist äußerst kritisch. Wenn der Security Incident gespeichert wird, werden die CI-Informationen mit den in den Schweregradrechnern definierten Bedingungen verglichen. Wenn der Security Incident anhand des Schweregradrechners „ Kritisch vom Service betroffen “ validiert wird, werden die Schweregradfelder automatisch aktualisiert, und oben im Security Incident wird eine Meldung ähnlich der folgenden angezeigt.

    Nachrichten oben im Security Incident

    Sie können diese Schweregradrechner unverändert verwenden oder sie bearbeiten, um sie den Anforderungen Ihres Unternehmens anzupassen. Wenn Sie beispielsweise Web- und E-Mail-Bedrohungen identifizieren möchten, die für den Geschäftsbereich Finance spezifisch sind, können Sie die Bedingungen des Multi-Angriffsvektor- Rechners ändern:
    • [Angriffsvektor] [enthält] [Web]
    • [Angriffsvektor] [enthält] [E-Mail]
    • [Geschäftsbereich] [enthält] [Finanz]

    Sie können die Schweregradwerte in einem vorhandenen Security Incident auch jederzeit aktualisieren, indem Sie den Datensatz öffnen und auf den zugehörigen Link Schweregrad berechnen klicken.

    Risikopunktzahl-Rechner für Security Incidents

    Die Rechner „Priorität mit Kategorie und Servicesfestlegen“ und „Priorität mit erkennbaren Elementen festlegen“ werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen.

    Benutzerrelevanzrechner

    Die beiden Rechner in der Benutzerrelevanzgruppe (Benutzerrelevanz abrufen und Benutzergruppenrelevanz abrufen) bieten Beispiele dafür, wie Sie die Relevanz basierend auf Kriterien, die in einem Benutzerdatensatz definiert sind, oder basierend auf der Gruppe, zu der ein Benutzer gehört, steuern können.

    Sie können nach Bedarf bearbeitet werden, oder es können neue Benutzerrelevanzrechner erstellt werden.

    Der Rechner für Benutzerrelevanz abrufen bewirkt, dass sich die Geschäftsrelevanz des Benutzers in 1 - Kritisch ändert, wenn das Feld Abteilung in Finanzengeändert wird.

    Der Rechner für Benutzergruppenrelevanz ändert die Geschäftskritikalität des Benutzers in 1 - Kritisch, wenn der Benutzer der Datenbankgruppe hinzugefügt wird.
    Hinweis:
    „Benutzergruppenrelevanz abrufen“ ist ein Beispiel für einen Rechner, der für Daten in einer zugehörigen Liste ausgeführt wird. Wenn Sie weitere Gruppen hinzufügen möchten, um eine Relevanzänderung zu initiieren, fügen Sie in der ersten Zeile des Skripts eine durch Kommas getrennte Liste mit Gruppen-sys_ids hinzu. Beispiel: var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].

    Berechnungen der Security Incident-Risikopunktzahl

    Die Risikopunktzahl wird als arithmetisches Mittel berechnet, das das Risiko basierend auf der Priorität eines Security Incident, der Art des Security Incident (Denial of Service, Spear Phishing oder böswillige Codeaktivität) und der Anzahl der Quellen darstellt, die einen fehlgeschlagenen ausgelöst haben Reputationspunktzahl für einen Indikator.

    Die Risikopunktzahl hilft bei der Priorisierung der Security Incident-Arbeit für die Analysten.

    Die Security Incident-Rechner„Priorität mit Kategorie und Servicesfestlegen“ und „Priorität mit erkennbaren Elementen festlegen“ werden verwendet, um eine Risikopunktzahl für einen Security Incident zu berechnen. Darüber hinaus lösen die folgenden Geschäftsregeln die automatische Berechnung von Risikopunktzahlen aus:
    • Schweregrad berechnen
    • Aktualisieren Sie die Risikopunktzahl
    • Aktualisieren Sie die SI-Risikopunktzahl
    Hinweis:
    Der im Basissystem verfügbare Risikorechner hängt von Ihrer Security Operations-Preisstufe ab.
    Wenn Sie sich eine Liste von Security Incidents im Basissystem ansehen, beachten Sie die Spalte Risikopunktzahl.
    Abbildung : 1. Security Incidents
    Security Incidents und Risikopunktzahlen
    Die Risikopunktzahl wird anhand von Gewichtungen berechnet, die in der Risikopunktzahlkonfigurationdefiniert sind.
    Abbildung : 2. Risikopunktzahlkonfiguration
    Gewichtungen der Risikopunktzahl

    Beispiel: Wenn für einen Security Incident die Geschäftsauswirkung auf 2-Hoch und die Priorität auf 3-Mittelfestgelegt ist, werden die entsprechenden Gewichtungen in der Tabelle „Risikopunktzahl-Gewichtungen“ gesucht und wie folgt berechnet:

    Security Incident – Geschäftsauswirkung mit einem Wert von 2 = einer Gewichtung von 60.

    Security Incident-Priorität mit einem Wert von 3 = einer Gewichtung von 40.

    (60 + 40)/2 = Risikopunktzahl 50.

    Die Position des Security Incident in der Security Incident-Liste wird dann basierend auf der aktualisierten Risikopunktzahl neu angeordnet.

    Wenn im obigen Beispiel die Geschäftsauswirkung oder die Priorität des Security Incidents geändert werden, wird die Risikopunktzahl neu berechnet, und die Änderungen werden in den Arbeitsnotizen angezeigt.
    Abbildung : 3. Arbeitsnotizen
    Arbeitsnotizen nach der Berechnung der Risikopunktzahl
    Die Arbeitsnotizen werden aktualisiert, wenn die folgenden Felder geändert werden (wodurch die Risikopunktzahl aktualisiert wird):
    • Geschäftsauswirkung auf das Security Incident-Formular
    • Priorität im Formular „Security Incident“.
    • Schweregrad im Security Incident-Formular (standardmäßig ausgeblendet)
    • Geschäftsauswirkung auf die zugehörige Liste „Betroffene Benutzer “.
    • Geschäftsauswirkung auf die zugehörige Liste Betroffene Services
    • Geschäftsauswirkung auf Schwachstellen in der zugehörigen Liste „Angreifbare Elemente “.
    Darüber hinaus werden die Arbeitsnotizen in den folgenden Situationen aktualisiert:
    • Wenn eine Zuordnung zwischen betroffenen Benutzern und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen betroffenen Services und einem Security Incident erstellt oder geändert wird
    • Wenn eine Zuordnung zwischen angreifbaren Elementen und einem Security Incident erstellt oder geändert wird

    Arbeitsnotizen werden auch aktualisiert, wenn im Formular „Gewichtungen der Risikopunktzahl“ auf Alle Risikopunktzahlen aktualisieren und Alle Risikopunktzahlen löschengeklickt wird.

    Verwalten Sie die Gewichtungen der Risikopunktzahl

    Die Risikopunktzahlgewichtungen, die zur Berechnung von Risikopunktzahlen in Security Incidents verwendet werden, können einzeln entfernt oder aktualisiert werden. Sie können auch für alle Security Incidents entfernt oder aktualisiert werden. Die Möglichkeit, sie aus Security Incidents zu entfernen, ist nützlich, wenn Gewichtungswerte geändert werden.

    Vorbereitungen
    Erforderliche Rolle: sn_sec_cmn.admin
    Hinweis:
    Benutzer mit der Rolle „sn_si.read“ können die Konfiguration der Risikopunktzahl in Security Incident Responseanzeigen.
    Prozedur
    1. Navigieren zu Alle > Security Incident > Setup > Konfiguration der Risikopunktzahl.
      Hinweis:
      Benutzer mit der Rolle „sn_si.read“ können die Konfiguration der Risikopunktzahl anzeigen, indem sie zu navigieren Security Incident > Warnungen und Ereignisse > Risikopunktzahlkonfiguration.
    2. Um eine neue Gewichtung der Risikopunktzahl hinzuzufügen, klicken Sie auf Neu, und geben Sie Informationen in die Felder ein.
      Feld Beschreibung
      Typ Wählen Sie den Typ der Risikopunktzahl aus, die Sie definieren.
      Wert Geben Sie den Wert an, der dem ausgewählten Typ zugeordnet ist. Wenn für den Typ mehrere Werte verfügbar sind, sollten Sie mehrere Risikopunktzahl-Gewichtungsdatensätze definieren. Beispiel: Security Incident-Priorität mit einem Wert von 1, Security Incident-Priorität mit einem Wert von 2 usw.
      Gewichtung Gewichtung, die dem ausgewählten Typ/Wert-Paar zugeordnet ist. Gültige Einträge liegen zwischen 0 und 100, wobei 0 die niedrigste und 100 die höchste Gewichtung ist.
    3. Klicken Sie auf Absenden.
    4. Führen Sie nach Bedarf einen dieser Schritte aus.
      • Um einen Risikopunktzahl-Gewichtungsdatensatz zu löschen, öffnen Sie ihn in der Liste und klicken Sie auf Löschen.
      • Um alle Risikopunktzahl-Gewichtungsdatensätze zu löschen, klicken Sie auf Alle Risikopunktzahlen löschen.
      • Um alle Risikopunktzahl-Gewichtungsdatensätze zu aktualisieren, klicken Sie auf Alle Risikopunktzahlenaktualisieren.

    Erstellen Sie eine Security Incident Response SLA

    Sie können eine Servicelevel-Vereinbarung (Service Level Agreement, SLA) für Security Incident Responsedefinieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Incident > Setup > SLAs.
    2. Klicken Sie auf Neu.
      Feldbeschreibungen und detaillierte Anweisungen finden Sie unter Create an SLA definition.

    Reparieren Sie Security Incident-SLAs

    Sie können SLA-Datensätze reparieren, um sicherzustellen, dass die SLA-Zeit- und -Dauerinformationen korrekt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.basic

    Prozedur

    1. Wenn es noch nicht geöffnet ist, öffnen Sie den Security Incident, für den Sie SLAs reparieren möchten.
    2. Klicken Sie auf das Kontextmenü der Formularkopfzeile, und wählen Sie SLAs reparieren aus:
      Reparieren Sie SLAs über das Formular-Header-Menü
    3. Klicken Sie im Bestätigungsfeld Warnung auf OK.
      Weitere Informationen finden Sie unter SLAs reparieren.

    Erstellen Sie ein Security Incident Response-Runbook

    Ein Runbook ist eine Zuordnung zwischen einem veröffentlichten Wissensartikel und einer bestimmten Aufgabe. Während Sie die Aufgabe ausführen, wird automatisch ein Wissensartikel im Runbook geöffnet, der Informationen enthält, die für die Aufgabe relevant sind.

    Vorbereitungen

    In der Knowledge Base von Security Incident Response Runbook müssen Wissensartikel vorhanden sein. Wenn Sie einen Wissensartikelzu Security Incidents erstellen, stellen Sie sicher, dass Sie Security Incident Response Runbook im Feld Knowledge Base auswählen. Nachdem Sie den Artikel veröffentlicht haben, können Sie auf die Schaltfläche Runbook erstellen klicken.

    Erforderliche Rolle: sn.si.knowledge_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können Runbooks während der Erstellung von Security Incidents oder Antwortaufgaben verwenden, oder Sie können die Knowledge Base-Artikel in einem Runbook mit Aufgaben im Playbook verknüpfen.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Manuelles Runbook > Neues Runbook erstellen.
    2. Füllen Sie die Felder entsprechend aus.
      Feld Beschreibung
      Wissensartikel Wählen Sie einen Wissensartikel aus, der in das Runbook aufgenommen werden soll.
      Aktiv Aktivieren Sie das Kontrollkästchen, um das Runbook im Filternavigatorverfügbar zu machen.
      Filtergruppe verwenden Aktivieren Sie diese Checkbox, um eine vordefinierte Filtergruppe zu verwenden, oder erstellen Sie eine neue Filtergruppe, um die Runbook-Kriterien zu definieren.
      Filtergruppe Wählen Sie die Filtergruppe aus, die zum Definieren eines Runbooks verwendet werden soll.

      Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Filtergruppen verwenden aktiviert ist.
      Tabelle Wählen Sie entweder Security Incident [sn_si_incident] oder Security Incident Response Aufgabe [sn_si_task] aus.

      Wenn Sie das Kontrollkästchen Filtergruppe verwenden aktiviert und eine Filtergruppe ausgewählt haben, wird in diesem Feld standardmäßig die Tabelle verwendet, die der ausgewählten Filtergruppe zugeordnet ist.
      Bedingung Legen Sie die Bedingungen fest, die dieses Runbook mit dem Incident oder der Aufgabe verbinden.

      Wenn Sie das Kontrollkästchen Filtergruppe verwenden aktiviert und eine Filtergruppe ausgewählt haben, werden die Bedingungsfelder nicht angezeigt.
    3. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.
      Die Registerkarte Wissensartikeldetails und eine Reihe von Schaltflächen werden angezeigt.
    4. Um die Details des Runbooks anzuzeigen, klicken Sie auf die Registerkarte Knowledge Base-Details.
    5. Um den Wissensartikel so anzuzeigen, wie er dem Benutzer angezeigt wird, klicken Sie auf Artikel anzeigen.
    6. Bis Um die Details des Wissensartikels zu bearbeiten, klicken Sie auf Artikel bearbeiten.

    Erstellen Sie Regeln, um von Benutzern gemeldete Phishing-Angriffe zu validieren

    Wenn Ihre Mitarbeiter E-Mails erhalten, die Phishing-Angriffe zu sein scheinen, können sie Ihnen diese über eine Phishing-E-Mail-Adresse melden. Die verdächtige E-Mail wird anhand der von Ihrer Organisation definierten Regeln validiert.

    Vorbereitungen

    Bevor E-Mail-Abgleichregeln zur Identifizierung potenzieller Phishing-Angriffe verwendet werden können, definieren Sie eine E-Mail-Adresse, an die von Ihren Mitarbeitern weitergeleitete E-Mails zur Verarbeitung gesendet werden. Sie haben die folgenden Optionen zum Definieren dieser E-Mail-Adresse (vorausgesetzt, die E-Mail-Domäne Ihres Unternehmens ist acme.com):
    • Definieren Sie eine E-Mail-Adresse wie acme+phishing@service-now.com. Das Tag +phishing wird von SMTP unterstützt, um die Filterung zu ermöglichen, und Ihre Instanz kann an sie gesendete E-Mails empfangen.
    • Definieren Sie eine E-Mail-Adresse, z. B. phishing@acme.com (Ihr Exchange-Postfach), die sie wiederum an acme+phishing@service-now.com (Ihr Instanzpostfach, das durch eine E-Mail-Weiterleitungsregel definiert ist) weiterleitet.

    Erforderliche Rolle: sn_sec_cmn.write

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn ein Mitarbeiter auf eine verdächtige E-Mail stößt, sollte er sie als Anhang an Ihre Phishing-E-Mail-Adresse weiterleiten. Wenn die angehängte E-Mail mit einer Regel übereinstimmt, die eine Bedrohung definiert, wird ein Security Incident erstellt.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Anwender hat Phishing gemeldet.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder nach Bedarf aus.
      Tabelle : 6. Formular „E-Mail-Abgleichregeln“.
      Feld Beschreibung
      Name Name für diese E-Mail-Abgleichregel. Beispiel: Vom Anwender gemeldetes Phishing.
      Bedingungen Verwenden Sie den -Bedingungsgenerator, um zu überprüfen, ob eine E-Mail an die Phishing-E-Mail-Adresse Ihres Unternehmens gesendet wurde, um einen Phishing-Angriff zu verhindern. Siehe folgendes Beispiel.
    4. Klicken Sie auf Absenden.

    Beispiel

    Dieses Beispiel zeigt eine Übereinstimmungsregel für die Behandlung von von Benutzern gemeldetem Phishing.
    Abbildung : 4. Beispiel für eine E-Mail-Übereinstimmungsregel
    E-Mail-Übereinstimmungsregel