Workflow-Vorlage Security Incident Denial of Service

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Mit der Vorlage „Security Incident – Denial of Service – Vorlage“ können Sie eine Reihe von Aufgaben ausführen, die auf Denial of Service-Angriffe (DOS) ausgelegt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.write

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow wird ausgelöst, wenn die Kategorie in einem Security Incident auf Denial of Servicefestgelegt wird. Mit dieser Aktion wird eine Antwortaufgabe für die erste Aktivität im Workflow erstellt.

    Abbildung : 1. Denial of Service (DOS)
    Denial of ServiceTemplate

    Prozedur

    1. Öffnen Sie den Security Incident für diesen Denial of Service-Vorfall, oder erstellen Sie einen neuen Security Incident.
    2. Wählen Sie unter Kategoriedie Option Denial of Service aus.
    3. Speichern Sie den Datensatz.
    4. Scrollen Sie nach unten, und öffnen Sie die zugehörige Liste Antwortaufgaben.
      Die erste einer Reihe von Antwortaufgaben wird angezeigt. Jedes Mal, wenn der Datensatz gespeichert wird, führt Ihre Antwort auf die vorherige Aufgabe entweder dazu, dass die nächste Antwortaufgabe erstellt wird, oder der Flow beendet wird.
      Tabelle : 1. Antwortaufgaben in Denial of Service-Vorlage
      Antwortaufgabe Aktion Ergebnisse
      Ist das Ziel geschäftskritisch? Stellen Sie fest, ob das Ziel dieses DOS-Angriffs geschäftskritisch ist.

      Wählen Sie in der Aufgabe Ja oder Nein in Ergebnisaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe „ Priorität auf kritische Priorität festlegen “ ausgeführt.

      Wenn Sie Neinauswählen, wird das Feld Wird eine Schwachstelle ausgenutzt? Aufgabe wird ausgeführt.
      Legen Sie die Priorität auf „Kritisch“ fest Keine Aktion erforderlich. Die Priorität des Security Incident wird automatisch in Kritischgeändert, und das Feld Wird eine Schwachstelle ausgenutzt? Aufgabe wird ausgeführt.
      Wird eine Schwachstelle ausgenutzt? Stellen Sie fest, ob dieser DOS-Angriff eine Softwareschwachstelle ausnutzt.

      Wählen Sie in der Aufgabe Ja oder Nein in Ergebnisaus.

      		 Wenn Sie Jaauswählen, wird die Notfall-Patch-Anforderungsaufgabe ausgeführt.

      Wenn Sie Neinauswählen, wird der interne Angreifer? Aufgabe wird ausgeführt.
      Notfall-Patch-Anforderung Geben Sie eine Notfall-Patch-Anforderung für die angegriffenen Systeme aus.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in Geschlossen – vollständig oder Abgebrochengeändert haben, wird die nächste Antwortaufgabe ausgeführt.
      Interner Angreifer? Bestimmen Sie, ob die Quelle dieses DOS-Angriffs intern in Ihrer Organisation liegt.

      Wählen Sie in der Aufgabe Ja oder Nein in Ergebnisaus.

      		 Wenn Sie Jaauswählen, wird die Aufgabe Angreifende Hosts isolieren ausgeführt.

      Wenn Sie Neinauswählen, wird die Notify-DOS-Schutzanbieter- und/oder ISP- Aufgabe ausgeführt.
      Angreifende Hosts isolieren Führen Sie die erforderlichen Schritte aus, um den/die internen Host(s), der/die für den Angriff verantwortlich ist/sind, zu isolieren.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Nachdem Sie diesen Schritt abgeschlossen haben, wird die Aufgabe Systemintegrität angegriffener Systeme validieren ausgeführt.
      Benachrichtigen Sie den DOS-Schutzanbieter und/oder ISP Führen Sie die erforderlichen Schritte aus, um sich an Ihren Denial of Service-Schutzanbieter und/oder Ihren Internet Service Provider zu wenden und sie über den Angriff zu informieren.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in Geschlossen – vollständig oder Abgebrochengeändert haben, wird die nächste Antwortaufgabe ausgeführt.
      Validiert die Systemintegrität angegriffener Systeme Führen Sie die erforderlichen Schritte aus, um die Integrität der angegriffenen Computer zu bewerten und zu validieren.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in Geschlossen – vollständig oder Abgebrochengeändert haben, wird die nächste Antwortaufgabe ausgeführt.
      Überprüfen Sie die DOS-Schutzmaßnahmen Führen Sie eine Überprüfung Ihrer vorhandenen DOS-Schutzmaßnahmen und -Verfahren durch. Führen Sie alle erforderlichen Änderungen durch.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in Geschlossen – vollständig oder Abgebrochengeändert haben, wird die nächste Antwortaufgabe ausgeführt.
      Legen Sie den Status auf Überprüfung fest Keine Aktion erforderlich. Der Status des Security Incident wird automatisch in Überprüfunggeändert.

      Die Besprechungsaufgabe „Erlernte Lektionen“ wird ausgeführt.
      Besprechung der gelernten Lektionen Führen Sie eine Besprechung mit gelernten Lektionen durch, um die für diesen Denial of Service-Incident durchgeführte Arbeit zu selektieren.

      Aktualisieren Sie das Feld Status in der Aufgabe entsprechend.

      		 Wenn Sie den Status der Aufgabe in Geschlossen – vollständig oder Abgebrochenändern, wird der Flow beendet.