Workflow zum Abschluss von Security Incidents

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Schließen Sie den Security Incident, indem Sie den Incident-Status aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich für Security Incident Response.
    2. Wechseln Sie beispielsweise zu Lists > Security Incidents > Offene Incidents.
    3. Öffnen Sie einen Incident, den Sie schließen möchten.
    4. Wechseln Sie zur Registerkarte Details.
    5. Führen Sie einen Drilldown zum Incident-Status durch, und wählen Sie Schließenaus.
    6. Führen Sie die Abschlussaktivitäten aus.

      • Dies ist ein obligatorischer Schritt zur Überprüfung einer Aufgabe, bevor ein Security Incident geschlossen wird. Alle Antwortaufgaben müssen vom Analysten überprüft und geschlossen oder abgebrochen werden, bevor sie als Security Incident geschlossen werden. Wenn der Analyst auf Aktive Aufgabenprüfen klickt, gelangt der Benutzer zur Registerkarte Antwortaufgaben. Eine Sitzungsnachricht wird mit der Aufforderung angezeigt, dass Sie gerade einen Security Incident schließen. Klicken Sie auf Fortfahren.

      • Klicken Sie auf Fortsetzen. Der erste Schritt – die Überprüfung aktiver Aufgaben beim Schließen des Security Incident ist abgeschlossen.
        Abbildung : 1. Abschlussaufgaben werden überprüft
      • Fahren Sie mit dem nächsten Schritt fort, um die aktiven Playbooks für die Überprüfung durch den Analysten zu überprüfen. Dies ist ein optionaler Schritt. Sie können auf den Link klicken, um die aktive Playbook-Aufgabe zu überprüfen und sie nach Bedarf zu schließen.
        Hinweis:
        Alle aktiven Workflows, Playbook-Aktivitäten und Flows werden automatisch abgebrochen, wenn der Security Incident geschlossen wird.
        Abbildung : 2. Überprüfen Sie Playbook-Aufgaben
      • Überprüfungsbericht nach Incident: Sie werden jetzt zur Überprüfung der Aktivitäten nach Incidents verschoben, um mit dem Abschluss fortzufahren. Wenn die Bewertung optional ist, überspringen Sie den Schritt. Wenn die Bewertung obligatorisch ist, führen Sie die Bewertung durch und schließen Sie sie ab.
        Abbildung : 3. Bewertung überprüfen/durchführen
      • Bericht konfigurieren/in der Vorschau anzeigen: Dies ist erneut ein optionaler Schritt. Klicken Sie auf den Link, um den Bericht zu überprüfen, und fahren Sie mit dem nächsten Schritt fort.
      • Lösungsdetails bereitstellen: Der Analyst kann das Kontrollkästchen aktivieren, um Wissensartikel automatisch zu erstellen.
      • Geben Sie den Abschlusscode und die Abschlussnotizen an, und klicken Sie auf Incident schließen.
      Hinweis:
      Wenn der Analyst das Dialogfeld Security Incident schließen abbricht, kann er zur Registerkarte Details navigieren und den Incident-Status in „ Schließen “ ändern, um mit dem Abschluss fortzufahren.