Referência do Assistente de configuração

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 30 min. de leitura

    • O Assistente de configuração orienta você nas etapas necessárias para configurar o sistema de base Security Incident Response. Esta seção fornece informações adicionais sobre as etapas complicadas para as quais você pode precisar de mais explicações.

    Criar uma definição de processo Security Incident Response

    Você pode criar uma definição de processo para definir a maneira como os incidentes de segurança fazem a transição de um estado para o próximo. As definições de processo ajudam as centrais de serviços e os usuários finais a rastrear o problema durante todo o ciclo de vida.

    Antes de Iniciar

    Função necessária: sn.si_admin

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Administração > Definição de Processo.
    2. Clique em Nova.
    3. Preencha os campos, se for o caso.
      Tabela 1. Criando definições de processo
      Campo Descrição
      Nome Nome do registro que descreve o processo codificado no arquivo de inclusão de script. O nome é exibido como uma opção na lista do Seletor de definição de processo.
      Script Include O nome (incluindo o prefixo sn_si.) da inclusão de script que contém a definição do processo. O script deve estar no escopo da aplicação Incidente de segurança (sn_si). Para obter mais informações, consulte Criar uma inclusão de script de definição de processo personalizada Security Incident Response. Se este campo não contiver um nome de inclusão de script válido, a definição padrão de ProcessDefinition_NIST_Stateful será usada.
      Descrição Informações úteis sobre a inclusão de script.
      Ordem Determina a posição na lista de definição de processo.
      Ativo Quando marcada, torna esta definição de processo selecionável na página Seletor de definição de processo.
    4. Clique em Enviar.

    Noções básicas sobre a definição de processo do Security Incident Response

    Security Incident Response Definição de Processo substitui fluxos de estado e fornece aos usuários finais e centrais de serviços o status de um problema. Uma definição de processo ajuda a rastrear o problema durante seu ciclo de vida. Security Incident Response é uma aplicação Service Management (SM), que tem seu próprio conjunto de estados. Estados inválidos são relatados como parte de Seleção de processo.

    Definição de processo do Security Incident Response

    A definição de processo padrão (NIST Stateful) define os seguintes estados de incidente:
    Nota:
    Os estados disponíveis variam de acordo com o estado atual do incidente.
    Tabela 2. Estados de definição do processo de Incidente de segurança
    Estado Descrição
    Rascunho O iniciador da solicitação adiciona informações sobre o incidente de segurança, mas ainda não está pronto para ser trabalhado.
    Análise O incidente foi atribuído e o problema está sendo analisado.
    Contém O problema foi identificado e a equipe de segurança está trabalhando para contê-lo e executar o controle de danos. Essas ações podem incluir colocar os servidores off-line, desconectar equipamentos da Internet e verificar se existem backups.
    Erradicar O problema foi contido e a equipe de segurança está tomando medidas para corrigir o problema.
    Recuperar O problema foi resolvido e a prontidão operacional dos sistemas afetados está sendo verificada.
    Revisar O incidente de segurança foi concluído e todos os sistemas estão de volta à função normal. No entanto, uma revisão pós-incidente ainda é necessária.
    Encerrado O incidente está concluído, mas antes que um incidente de segurança possa ser encerrado, você deve preencher as informações na guia Informações de fechamento.

    Definições de processo de tarefa de Incidente de segurança

    As definições de processo a seguir são usadas para tarefas de incidente de segurança.

    Tabela 3. Estados da definição do processo da tarefa
    Estado Descrição
    Pronto A tarefa está pronta para ser trabalhada depois de ser atribuída a um agente.
    Atribuído em A tarefa é atribuída a um agente.
    Trabalho em andamento O agente atribuído está trabalhando na tarefa.
    Concluir A tarefa está concluída.
    Cancelado A tarefa foi cancelada.

    O NIST oferece suporte aos dois modelos a seguir:

    • NIST com estado

      Esta definição de processo permite que os analistas passem de um estado para outro em uma ordem sequencial sem ignorar nenhuma etapa. Por exemplo, se o Analista iniciar com o estado Rascunho, a ordem sequencial desta definição de processo será Rascunho>Análise>Conter>Erradicar>Recuperar. Portanto, a definição do processo com estado do NIST é unidirecional e permite que os analistas avancem somente para os estados avançados.

      Aqui está outro exemplo, se o Analista iniciar com o estado Análise, a ordem sequencial desta definição de processo será Análise>Conter>Erradicar>Recuperar.

    • NIST em aberto

      Esta definição de processo permite que os analistas passem de um estado para outro, seja para frente ou para trás. Por exemplo, se o Analista iniciar com o estado Análise, a ordem da definição do processo poderá ser Análise>Conter>Erradicar>Recuperar ou Análise>Rascunho. Portanto, a definição do processo NIST Open é bidirecional e permite que os analistas avancem ou retrocedam, dependendo dos requisitos.

    Seleção de processo do Security Incident Response

    Seleção de processo lista processos com estados inválidos para incidentes de segurança e tarefas de resposta.

    Um administrador pode corrigir o incidente ou a tarefa para estados válidos manualmente ou usando um script. Uma lista relacionada vazia (sem incidentes; sem tarefas) indica que todas as tarefas ativas estão em um estado válido. Os estados disponíveis variam de acordo com o estado atual do incidente. Para obter mais informações, consulte Corrigir um incidente de segurança ou estado de tarefa inválido com a definição de processo.

    Exemplo de seletor de definição de processo
    Selecione uma definição de processo Security Incident Response

    Você pode selecionar a definição de processo a ser usada para os estados apropriados para os incidentes de segurança e as tarefas de resposta da sua empresa.

    Antes de Iniciar
    Função necessária: admin e sn_si.admin
    Por Que e Quando Desempenhar Esta Tarefa
    Procedimento
    1. Navegar até Todos > Security Incident Response > Administração > Seleção de processo.
    2. Clique no ícone de pesquisa para listar as definições de processo disponíveis.
      Seletor de definição de processo
    3. Selecione uma definição de processo.
    4. Clique em Atualizar.

    Criar uma inclusão de script de definição de processo personalizada Security Incident Response

    Crie um script de Definição de processo personalizado para os estados apropriados para os incidentes de segurança e as tarefas de resposta da sua empresa.

    Antes de Iniciar
    Função necessária: sn_si.admin
    Por Que e Quando Desempenhar Esta Tarefa
    O script principal sn_si.ProcessDefinition inclui controles e definições de processo. A definição de processo determina qual definição está em uso (usando a seleção de processo). Ele chama o arquivo de inclusão de script apropriado para determinar os estados iniciais e as transições para incidentes de segurança e tarefas de resposta.
    Procedimento
    1. Navegar até Tudo > Definição do Sistema > Inclusões de script.
    2. Clique em Novo.
    3. Preencha os campos, se for o caso.
      Tabela 4. Criando definições de processo
      Campo Descrição
      Nome Nome desta inclusão de script.
      Nome da API Criado com base no nome da inclusão de script.
      Cliente chamável Disponibiliza a inclusão de script para Client scripts, filtros de lista e relatório, qualificadores de referência ou, se especificado, como parte do URL.
      Aplicação Incidente de segurança
      Acessível de Escolha Somente este escopo da aplicação .
      Ativo Quando marcada, torna esta inclusão de script selecionável na página Definição de processo.
      Descrição Informações úteis sobre a inclusão de script.
      Script Define o script do lado do servidor a ser executado quando chamado de outros scripts.

      O script deve definir uma única classe JavaScript ou uma função global. O nome da classe ou da função deve corresponder ao campo Nome.

      Para obter informações sobre o conteúdo do script, consulte Inclusão de script de definição de processo.
      Formulário de inclusão de script de definição de processo
    4. Clique em Enviar.
    Inclusão de script de definição de processo

    O script include de definição de processo fornece métodos para definir uma definição de processo.

    Implemente as constantes, atributos, matrizes e chamadas de método descritas aqui para personalizar uma inclusão de script de definição de processo.

    Onde usar

    Use esta inclusão de script para criar uma definição de processo.

    Corpo da inclusão de script
    O corpo da inclusão de script é composto por três seções:
    • Constantes: definições de estado inicial
    • Security Incident and Response Task: matrizes de definição de processo
    • Chamadas de método: recuperando informações
    Constantes

    As constantes são usadas para definir os estados iniciais de incidentes de segurança e tarefas de resposta.

    O uso de constantes é opcional, mas recomendado para facilitar a leitura. Por exemplo:
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Que são usados posteriormente pelos seguintes métodos:

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    O próximo conjunto de constantes define os estados dos incidentes de segurança e das tarefas de resposta.

    Cada matriz também contém a definição de quais estados estão disponíveis quando o incidente ou a tarefa está em um estado específico.

    Por exemplo:
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    O exemplo é uma matriz de objetos. Cada objeto define um estado e possíveis estados de transição.

    A ordem do objeto do estado determina a ordem desejada para o fluxo.

    Quando a tarefa está no estado "Rascunho" (valor 1), os estados possíveis são: 1 (Rascunho, que não é mudança) e 10 (Pronto, a próxima etapa no processo).

    Não há limite para o número de transições de um estado. O estado "Encerrar concluído" e "Cancelado" são estados finais e, portanto, não têm transições de estado possíveis.

    A ordem dos atributos no objeto não é importante. Se isso tornar a definição mais clara, coloque o rótulo primeiro.

    Atributos
    Os atributos obrigatórios em um objeto de definição de estado são:
    • estado: valor numérico do estado
    • rótulo: texto legível associado ao estado
    • opção: uma matriz de valores de estado para os quais o estado pode fazer a transição (determina o conteúdo do menu suspenso de estado)
    Os atributos opcionais são:
    • obrigatório: lista de IDs de campo que se tornam obrigatórios neste estado
    • readonly: lista de IDs de campo que se tornam somente leitura neste estado
    • visível: lista de IDs de campo que se tornam visíveis neste estado
    • notmandatory: lista de IDs de campo que se tornaram não obrigatórios neste estado
    • notvisible: lista de IDs de campo que não estariam mais visíveis neste estado
    Nota:

    Se atributos opcionais forem usados, será responsabilidade do autor garantir que os campos fiquem visíveis/invisíveis, obrigatórios/não obrigatórios, visíveis/ocultos ou somente leitura adequadamente entre os estados.

    Por exemplo, ocultar um campo em um estado não o torna visível em outro estado mais tarde, a menos que o atributo "visível" seja usado.

    Matrizes de definição de fluxo de processo

    Para definir as informações exibidas no formatador de fluxo do processo (a barra na parte superior dos formulários de tarefa de incidente e resposta de segurança), o sistema requer informações sobre o que exibir para cada estado.

    Por exemplo:
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    A matriz TASK_PF é uma coleção de rótulos, condições e descrições usadas para determinar o texto exibido na barra do formatador de processo (incluindo ordem e atividade).

    No exemplo, o texto "Pronto" é o segundo item exibido. Ele é realçado quando a tarefa atende à condição 'state=10^EQ'.

    Quando o ponteiro do mouse passa sobre o texto, a descrição "A tarefa do Security Incident Response está pronta para ser atribuída" é exibida.

    Nota:

    Os estados podem ser combinados em um único estado de formatador.

    No exemplo, os estados "Encerrado concluído" e "Cancelado" são exibidos como "Encerrado" na barra superior.

    Chamadas de método
    Os seguintes métodos devem estar presentes na inclusão de script, pois são usados por sn_si.ProcessDefinition:
    Tipo de retorno Resumo do método Descrição
    Cadeia de caracteres getInitialIncidentState: função () retornar o valor numérico do estado do incidente inicial
    Cadeia de caracteres getInitialTaskState: função(): retornar o valor numérico do estado inicial da tarefa
    Matriz de cadeia de caracteres getIncidentStates: função (): retornar a matriz do estado do incidente
    Matriz de cadeia de caracteres getTaskStates: função (): retornar a matriz do estado da tarefa
    Matriz de objetos getIncidentProcessFlows: função (): retornar a matriz de definição de fluxo do processo de incidente
    Matriz de objetos getTaskProcessFlows: função (): retornar a matriz de definição de fluxo do processo de tarefa

    O próximo conjunto de métodos é chamado sempre que um incidente ou uma tarefa é atualizado e permite que ações sejam executadas em transições de mudança específicas.

    Tipo de retorno Resumo do método Descrição
    vazio performanceIncidentStateChange: função (atual, anterior) Nos exemplos, este método é usado para definir valores relacionados ao SM e garantir que um incidente avance para fora de "Rascunho" quando alguém for atribuído a ele.
    vazio performanceTaskStateChange: função (atual, anterior) No exemplo, este método é usado para atualizar carimbos de data/hora (na atribuição e no fechamento) e avançar a tarefa de "Pronto" para "Atribuído" depois que o campo assigned_to estiver preenchido.
    As mesmas ações realizadas por esses dois métodos podem ser realizadas usando uma regra de negócios. Ao defini-los na inclusão de script, a alternância das definições de processo é facilitada.

    Corrigir um incidente de segurança ou estado de tarefa inválido com a definição de processo

    Um administrador pode corrigir o incidente de segurança ou a tarefa para estados válidos, manualmente ou usando um script. Os estados disponíveis variam de acordo com o estado atual do incidente.

    Antes de Iniciar
    Função necessária: administrador
    Por Que e Quando Desempenhar Esta Tarefa
    Depois de alternar as definições de processo, a nova definição pode não oferecer suporte a alguns dos estados antigos. Para corrigir os estados de tarefa ou incidente órfãos, você pode mudar a definição do processo, editar a inclusão de scriptou abrir manualmente cada incidente ou tarefa para atualizar o estado. Geralmente, atualizar o estado (que pode ser feito em massa) é a solução mais fácil.

    Para mudar os estados em massa, faça o seguinte:

    Procedimento
    1. Navegar até Tudo > Seleção de processo.
    2. Realce o campo Estado para os incidentes ou tarefas que você deseja mudar.
    3. Clique duas vezesno campo Estado no primeiro registro, selecione o novo Estado e clique na marca de seleção verde ( Marca de seleção verde) para concluir a mudança.
      Exemplo de definição corrigida
    4. Clique em Atualizar.

    Criar um grupo de incidentes de segurança

    Configure um grupo de incidentes de segurança e atribua as funções e os usuários apropriados ao grupo.

    Antes de Iniciar

    Funções necessárias:
    • Se você tiver a função user_admin, poderá criar grupos de atribuição de incidentes de segurança.
    • Se você tiver a função sn_si.admin, poderá criar e editar grupos de atribuição de incidentes de segurança.

    Por Que e Quando Desempenhar Esta Tarefa

    Os usuários de um grupo herdam as funções do grupo, portanto, você não precisa atribuir funções a cada usuário separadamente.

    É uma prática recomendada criar quantos grupos forem necessários em sua organização. Também é uma prática recomendada criar um grupo para administradores e atribuir a função de administrador somente a este grupo.

    Procedimento

    1. Navegar até Todos > Administração de usuários > Grupos ou Incidente de segurança > Configuração > Grupos.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Nota:

      Para obter mais informações, consulte Criar um grupo de usuários.

    4. Certifique-se de selecionar o tipo de incidente de segurança para este grupo.
      1. Se o campo Tipo não estiver visível, configure o formulário para adicioná-lo.
      2. Clique no ícone de cadeado ao lado do campo Tipo.
      3. Clique no ícone de pesquisa de referência ( ícone de pesquisa)
      4. Pesquise e selecione o tipo de incidente de segurança.
    5. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
    6. Na lista relacionada Funções, adicione as funções que cada membro deste grupo recebe.
      Por exemplo, se você estiver criando um grupo para Security Incident Response membros da equipe, adicione sn_si.analyst. Se você estiver criando um grupo para administradores Security Incident Response, adicione sn_si.admin.
    7. Na lista relacionada Membros do Grupo, adicione usuários a este grupo.
    8. Clique em Atualizar.

    Criar um grupo de calculadoras de incidentes de segurança

    Grupos de calculadoras de incidentes de segurança são usados para agrupar calculadoras.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Configuração > Grupos de calculadoras de incidentes de segurança.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme apropriado.
      Campo Descrição
      Nome O nome da calculadora de incidente de segurança.
      Aplicação A aplicação que contém este registro.
      Pedido A ordem na qual a calculadora de incidente de segurança é executada. Uma calculadora com uma entrada de ordem de 100 é executada antes de uma calculadora com uma entrada de ordem de 200.
      Descrição Uma descrição deste grupo de calculadoras.
      Criado por Insira o nome do usuário que criou
    4. Clique em Enviar.

    Criar uma calculadora de incidente de segurança

    As calculadoras de incidente de segurança permitem calcular a gravidade de um incidente de segurança com base em fórmulas predefinidas. Você pode definir suas próprias calculadoras de incidente de segurança, conforme necessário.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Configuração > Grupos de calculadoras de incidentes de segurança.
    2. Clique no nome do grupo para o qual você deseja criar uma calculadora ou crie um grupo de calculadoras.
    3. Clique em Nova.
    4. Preencha os campos no formulário, conforme apropriado.
      Campo Descrição
      Nome O nome da calculadora de incidente de segurança.
      Grupo de Calculadoras Nome do grupo ao qual esta calculadora pertence.
      Nota:
      Criar ou alterar o grupo de calculadoras se torna disponível depois que você insere um Nome e uma Tabela.
      Tabela

      Selecione a tabela a ser usada para esta calculadora.

      Ao adicionar calculadoras a tabelas diferentes de Vulnerabilidade [sn_vul_vulnerability] e Item vulnerável [sn_vul_vulnerable_item], você deve adicionar regras de negócios e ações de IU a essas tabelas. Para ver exemplos:
      • Navegar até Definição do Sistema > Regras de negóciose localize a regra de negócios Calcular severidade na tabela Item vulnerável [sn_vul_vulnerable_item].
      • Navegar até IU do Sistema > Ações de IUe localize a ação de IU Calcular severidade na tabela Item vulnerável [sn_vul_vulnerable_item].

      Além disso, a função de administrador de vulnerabilidades deve receber recursos completos de leitura, gravação (ou save_as_template) em qualquer tabela usada por uma calculadora para ver corretamente os valores a serem aplicados ao modelo.
      Aplicação A aplicação com escopo à qual a calculadora pertence.
      Pedido A ordem na qual a calculadora de incidente de segurança é executada. Uma calculadora com uma entrada de ordem de 100 é executada antes de uma calculadora com uma entrada de ordem de 200.
      Ativo Liga ou desliga a calculadora.
      Descrição Uma descrição desta calculadora.
    5. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
      As guias Condições e Valores a serem aplicados são exibidas.
    6. Preencha os campos na guia Condições, conforme apropriado.
      Campo Descrição
      Usar grupo de filtros Marque esta caixa de seleção para usar um grupo de filtros predefinido ou criar um novo grupo de filtros para definir os critérios da calculadora.
      Grupo de filtros Selecione o grupo de filtros a ser usado para definir uma calculadora.

      Este campo aparecerá somente se você marcar a caixa de seleção Usar grupos de filtros.
      Usar a condição avançada Marque esta caixa de seleção para indicar que uma condição de script é usada para determinar quando esta calculadora é aplicada. Quando você marca a caixa de seleção, um campo de script de condição avançada é exibido.

      Se você marcou a caixa de seleção Usar grupo de filtros, este campo ficará oculto.

      Nota:
      Antes de definir condições avançadas e escrever scripts para determinar quando as calculadoras de incidentes de segurança são aplicadas, retorne à lista Calculadoras de incidentes de segurança. Explore os registros da calculadora enviados com o sistema de base.
      Condição Define condições básicas de filtro para determinar se a calculadora é usada.

      Se você selecionou uma das caixas de seleção Usar grupo de filtros ou Usar condições avançadas, este campo ficará oculto.
    7. Clique na guia Valores a serem aplicados e preencha os campos no formulário, conforme apropriado.
      Você tem a opção de criar um script para definir os valores a serem aplicados ao cálculo ou definir um modelo com base nos campos da tabela selecionada.
      Campo Descrição
      Usar valores de script Marque esta caixa de seleção para definir valores de campo com um script.
      Valores de Script Define a quais valores os cálculos serão aplicados.

      Este campo aparecerá somente se você marcar a caixa de seleção Usar valores de script.
      Modelo Clique com o botão direito no cabeçalho do formulário e selecione Salvar. Selecione os campos e valores que você deseja usar para a calculadora.
    8. Quando tiver concluído todas as entradas, clique em Enviar.

    Noções básicas sobre calculadoras de incidentes de segurança

    Calculadoras de incidentes de segurança são usadas para atualizar valores de registro quando condições predefinidas são atendidas. As calculadoras são agrupadas com base nos critérios usados para determinar como os registros são atualizados.

    O sistema de base Security Incident Response inclui os seguintes grupos de calculadoras de incidente de segurança e calculadoras. A primeira calculadora que corresponde às condições é executada em cada grupo.

    Tabela 5. Calculadoras de incidentes de segurança no sistema de base
    Nome do Grupo da Calculadora de Incidentes de Segurança Calculadoras incluídas no grupo Descrição
    Impacto nos negócios Agregar de calculadoras de severidade Esta calculadora delega para a Calculadora de Criticidade de Segurança que determina a criticidade ponderando os valores de outros campos.
    Gravidade Negócios afetados Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples.
    Serviço crítico afetado Esta calculadora de severidade define seus critérios de seleção usando uma condição avançada.

    Se o item de configuração no incidente de segurança estiver associado a um serviço de negócios altamente crítico, os campos Pontuação de risco, Impacto nos negóciose Prioridade serão elevados conforme definido pela calculadora.
    Mudanças críticas de serviço Esta calculadora de severidade define seus critérios de seleção usando uma condição avançada.

    Se o incidente de segurança atender às condições, um script será executado para definir os níveis para os quais os campos serão elevados. Se o item de configuração no incidente de segurança estiver associado a um serviço de negócios mais crítico ou um pouco crítico, os campos Pontuação de risco, Impacto nos negóciose Prioridade serão elevados conforme definido pela calculadora.
    Vetores de ataque múltiplo Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples.

    Se o item de configuração no incidente de segurança estiver associado a vetores de ataque da Web, e-mail e representação, os campos Pontuação de risco, Impacto nos negóciose Prioridade serão elevados conforme definido pela calculadora.
    Definir prioridade com categoria e serviços Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição avançado.
    A prioridade do incidente de segurança é definida como 1 - Crítica quando as seguintes condições são atendidas:
    • O incidente de segurança tem serviços afetados associados e um deles é crítico.
    • A categoria de incidente de segurança é uma das seguintes:
      • Negação de serviço
      • Spear Phishing
      • Atividade de código malicioso
    Nota:
    Esta calculadora está disponível no sistema de base quando você tem o tipo de preço da Operação de segurança inicial.
    Definir prioridade com observáveis Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição avançado.
    A prioridade do incidente de segurança é definida como 1 - Crítica quando as seguintes condições são atendidas:
    • O incidente de segurança tem serviços afetados associados e um deles é crítico.
    • A categoria de incidente de segurança é uma das seguintes:
      • Negação de serviço
      • Spear Phishing
      • Atividade de código malicioso
    • Um dos observáveis ou indicadores associados tem uma contagem de vistas que excede duas vistas com indicadores ativos (ou seja, os observáveis ou indicadores são confirmados como incorretos por várias fontes).
    Nota:
    Esta calculadora está disponível no sistema de base quando você tem o tipo de preço Advanced Security Operation e ativa o plug-in Threat Feeds.
    Criticidade do usuário Obter criticalidade do usuário Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição simples.

    Esta calculadora de severidade faz com que a criticalidade dos negócios do usuário seja alterada para 1 - Crítica quando o campo Departamento é alterado para Finanças.
    Obter criticidade do grupo de usuários Esta calculadora de severidade define seus critérios de seleção usando um construtor de condição avançado.

    Esta calculadora de severidade fornece um exemplo de uma calculadora que é executada em dados em uma lista relacionada.

    Calculadoras de severidade

    Quando você cria um incidente de segurança, os campos Pontuação de risco, Impacto nos negóciose Prioridade contêm valores padrão. Quando você salva o incidente, uma regra de negócios valida automaticamente as informações no incidente de segurança em relação às condições definidas em cada uma das calculadoras de severidade ativas. Eles são validados em uma calculadora de segurança de cada vez, na ordem definida pelo campo Ordem em cada calculadora. Se as informações no incidente de segurança corresponderem às condições definidas em uma das calculadoras, os valores do campo de severidade serão atualizados de acordo com as regras configuradas na calculadora.

    Por exemplo, suponha que você crie um incidente de segurança para um IC afetado e o IC seja altamente crítico. Quando o incidente de segurança é salvo, as informações do IC são comparadas com as condições definidas nas calculadoras de severidade. Quando o incidente de segurança é validado em relação à calculadora de severidade do serviço crítico afetado, os campos de severidade são atualizados automaticamente e uma mensagem semelhante à seguinte aparece na parte superior do incidente de segurança.

    Mensagens na parte superior do incidente de segurança

    Você pode usar essas calculadoras de severidade como estão ou editá-las para atender melhor às necessidades do seu negócio. Por exemplo, se você quiser identificar ameaças da Web e de e-mail específicas à unidade de negócios Finanças, poderá alterar as condições da calculadora de Vetores de vários ataques :
    • [Vetor de ataque] [contém] [Web]
    • [Vetor de ataque] [contém] [E-mail]
    • [Unidade de negócios] [contém] [Finanças]

    Você também pode atualizar os valores de severidade em um incidente de segurança existente a qualquer momento, abrindo o registro e clicando no link relacionado Calcular severidade.

    Calculadoras de pontuação de risco de incidente de segurança

    As calculadoras Definir prioridade com categoria e serviços e Definir prioridade com observáveis são usadas para calcular uma pontuação de risco para um incidente de segurança.

    Calculadoras de criticalidade do usuário

    As duas calculadoras no grupo de criticalidade do usuário (Obter criticalidade do usuário e Obter criticalidade de grupo de usuários) fornecem exemplos de como você pode direcionar a criticalidade com base em critérios definidos em um registro de usuário ou com base no grupo ao qual um usuário pertence.

    Eles podem ser editados conforme necessário ou novas calculadoras de criticidade do usuário podem ser criadas.

    A calculadora Obter criticidade do usuário faz com que a criticalidade dos negócios do usuário seja alterada para 1 - Crítica quando o campo Departamento é alterado para Finanças.

    A calculadora Obter criticidade do grupo de usuários faz com que a criticalidade dos negócios do usuário seja alterada para 1 - Crítica quando o usuário é adicionado ao grupo Banco de dados.
    Nota:
    Obter criticidade de grupo de usuários é um exemplo de uma calculadora que é executada em dados em uma lista relacionada. Se você quiser adicionar mais grupos para iniciar uma mudança de criticalidade, adicione uma lista separada por vírgulas de sys_ids de grupo na primeira linha do script. Exemplo: var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].

    Cálculos de pontuação de risco de incidente de segurança

    A pontuação de risco é calculada como uma média aritmética que representa o risco com base na prioridade de um incidente de segurança, no tipo de incidente de segurança (Negação de serviço, Spear Phishing ou atividade de código malicioso) e no número de origens que acionaram uma falha pontuação de reputação em um indicador.

    A pontuação de risco ajuda a priorizar o trabalho de incidente de segurança para os analistas.

    As calculadoras de incidente de segurança Definir prioridade com categoria e serviços e Definir prioridade com observáveis são usadas para calcular uma pontuação de risco para um incidente de segurança. Além disso, as seguintes regras de negócios acionam o cálculo automático de pontuações de risco:
    • Calcular Gravidade
    • Atualizar pontuação de risco
    • Atualizar pontuação de risco de SI
    Nota:
    A calculadora de risco disponível no sistema de base depende do seu tipo de preço do Security Operations.
    Ao observar uma lista de incidentes de segurança no sistema de base, observe a coluna Pontuação de risco.
    Figura 1. Incidentes de segurança
    Incidentes de segurança e pontuações de risco
    A pontuação de risco é calculada usando pesos definidos na configuração de pontuação de risco.
    Figura 2. Configuração de pontuação de risco
    Ponderações de pontuação de risco

    Por exemplo, se um incidente de segurança tiver um Impacto nos negócios definido como 2-Alto e uma Prioridade definida como 3-Moderado, os respectivos pesos na tabela Ponderações de pontuação de risco serão pesquisados e calculados da seguinte forma:

    Impacto do incidente de segurança nos negócios com um valor de 2 = um peso de 60.

    Prioridade de incidente de segurança com um valor de 3 = um peso de 40.

    (60 + 40)/2 = uma pontuação de risco de 50.

    A posição do incidente de segurança na lista de incidentes de segurança é reordenada com base em sua pontuação de risco atualizada.

    Se, no exemplo acima, o Impacto nos negócios ou a Prioridade do incidente de segurança forem alterados, a pontuação de risco será recalculada e as mudanças serão refletidas nas anotações de trabalho.
    Figura 3. Anotações de trabalho
    Anotações de trabalho após o cálculo da pontuação de risco
    As anotações de trabalho são atualizadas quando os seguintes campos são alterados (fazendo com que a pontuação de risco seja atualizada):
    • Impacto nos negócios no formulário de Incidente de segurança
    • Prioridade no formulário de Incidente de segurança
    • Severidade no formulário de Incidente de segurança (oculta por padrão)
    • Impacto nos negócios na lista relacionada de Usuários afetados
    • Impacto nos negócios na lista relacionada de Serviços afetados
    • Impacto nos negócios sobre vulnerabilidades na lista relacionada de itens vulneráveis
    Além disso, as anotações de trabalho são atualizadas nas seguintes situações:
    • Quando uma associação entre usuários afetados e um incidente de segurança é criada ou modificada
    • Quando uma associação entre serviços afetados e um incidente de segurança é criada ou modificada
    • Quando uma associação entre itens vulneráveis e um incidente de segurança é criada ou modificada

    As anotações de trabalho também são atualizadas sempre que Atualizar todas as pontuações de risco e Limpar todas as pontuações de risco no formulário Ponderações de pontuação de risco são clicados.

    Manter pesos de pontuação de risco

    Os pesos de pontuação de risco usados para calcular pontuações de risco em incidentes de segurança podem ser removidos ou atualizados individualmente. Eles também podem ser removidos ou atualizados para todos os incidentes de segurança. A capacidade de removê-los de incidentes de segurança é útil ao alterar valores de peso.

    Antes de Iniciar
    Função necessária: sn_sec_cmn.admin
    Nota:
    Usuários com a função sn_si.read podem exibir a configuração de pontuação de risco em Security Incident Response.
    Procedimento
    1. Navegar até Todos > Incidente de segurança > Configuração > Configuração de pontuação de risco.
      Nota:
      Usuários com a função sn_si.read podem exibir a configuração de pontuação de risco navegando até Incidente de segurança > Alertas e eventos > Configuração de pontuação de risco.
    2. Para adicionar um novo peso de pontuação de risco, clique em Novo e insira as informações nos campos.
      Campo Descrição
      Tipo Selecione o tipo de pontuação de risco que você está definindo.
      Valor Especifique o valor associado ao tipo selecionado. Se vários valores estiverem disponíveis para o tipo, convém definir vários registros de peso de pontuação de risco. Exemplo: prioridade de incidente de segurança com um valor de 1, prioridade de incidente de segurança com um valor de 2 e assim por diante.
      Ponderação O peso associado ao par de tipo/valor selecionado. As entradas válidas estão entre 0 e 100, sendo 0 o menor peso e 100 o maior.
    3. Clique em Enviar.
    4. Execute qualquer uma dessas etapas, conforme necessário.
      • Para limpar um registro de ponderação de pontuação de risco, abra-o na lista e clique em Excluir.
      • Para limpar todos os registros de ponderação de pontuação de risco, clique em Limpar todas as pontuações de risco.
      • Para atualizar todos os registros de ponderação de pontuação de risco, clique em Atualizar todas as pontuações de risco.

    Criar um Security Incident Response ANS

    Você pode definir um Acordo de nível de serviço (ANS) para Security Incident Response.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Configuração > SLAs.
    2. Clique em Nova.
      Para obter descrições de campo e instruções detalhadas, consulte Create an SLA definition.

    Reparar ANS de incidente de segurança

    Você pode reparar registros de SLA para garantir que as informações de tempo e duração do SLA sejam precisas.

    Antes de Iniciar

    Função necessária: sn_si.basic

    Procedimento

    1. Se ainda não estiver aberto, abra o incidente de segurança para o qual você deseja reparar SLAs.
    2. Clique no menu de contexto do cabeçalho do formulário e selecione Reparar ANS:
      Reparar ANS no menu do cabeçalho do formulário
    3. Clique em OK na caixa de confirmação Aviso.
      Para obter mais informações, consulte Reparar ANS.

    Criar um runbook do Security Incident Response

    Um runbook é uma associação entre um artigo de conhecimento publicado e uma tarefa específica. Enquanto você está executando a tarefa, um artigo de conhecimento no runbook é aberto automaticamente, fornecendo informações pertinentes à tarefa.

    Antes de Iniciar

    Deve haver artigos de conhecimento na base de conhecimento do Security Incident Response Runbook. Ao criar um artigo de conhecimento de incidente de segurança, certifique-se de selecionar Runbook do Security Incident Response no campo Base de conhecimento. Depois de publicar o artigo, você pode clicar no botão Criar Runbook.

    Função necessária: sn.si.knowledge_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar runbooks durante o incidente de segurança ou processos de criação de tarefa de resposta, ou pode associar os artigos da base de conhecimento em um runbook com tarefas no playbook.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Runbook Manual > Criar Novo Runbook.
    2. Preencha os campos, se for o caso.
      Campo Descrição
      Artigo de conhecimento Selecione um artigo de conhecimento para incluir no runbook.
      Ativo Marque a caixa para disponibilizar o runbook no Navegador de filtro.
      Usar grupo de filtros Marque esta caixa de seleção para usar um grupo de filtros predefinido ou criar um novo grupo de filtros para definir os critérios do runbook.
      Grupo de filtros Selecione o grupo de filtros a ser usado para definir um runbook.

      Este campo aparecerá somente se a caixa de seleção Usar grupos de filtros estiver marcada.
      Tabela Selecione Incidente de segurança [sn_si_incident] ou Security Incident Response Tarefa [sn_si_task].

      Se você marcou a caixa de seleção Usar grupo de filtros e selecionou um grupo de filtros, este campo será padronizado para a tabela associada ao grupo de filtros selecionado.
      Condição Defina as condições que conectam este runbook ao incidente ou tarefa.

      Se você marcou a caixa de seleção Usar grupo de filtros e selecionou um grupo de filtros, os campos Condição não serão exibidos.
    3. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
      A guia Detalhes do artigo de conhecimento e uma série de botões são exibidos.
    4. Para exibir os detalhes do runbook, clique na guia Detalhes da Base de Conhecimento.
    5. Para ver o artigo de conhecimento como ele aparecerá para o usuário, clique em Exibir artigo.
    6. Para edite os detalhes do artigo de conhecimento, clique em Editar artigo.

    Criar regras para validar ataques de phishing relatados pelo usuário

    Quando seus funcionários recebem e-mails que parecem ser ataques de phishing, eles podem relatá-los para você usando um endereço de e-mail de phishing. O e-mail suspeito é validado usando regras definidas pela sua organização.

    Antes de Iniciar

    Antes que as regras de correspondência de e-mail possam ser usadas para identificar possíveis ataques de phishing, defina um endereço de e-mail para o qual os e-mails encaminhados de seus funcionários serão enviados para processamento. Você tem as seguintes opções para definir este endereço de e-mail (supondo que o domínio de e-mail da sua empresa seja acme.com):
    • Defina um endereço de e-mail como acme+phishing@service-now.com. O marcador +phishing é compatível com o SMTP para habilitar a filtragem e sua instância pode receber e-mails enviados para ela.
    • Defina um endereço de e-mail, como phishing@acme.com (sua caixa de correio do Exchange), que por sua vez o encaminha para acme+phishing@service-now.com (sua caixa de correio de instância definida por meio de uma regra de encaminhamento de e-mail).

    Função necessária: sn_sec_cmn.write

    Por Que e Quando Desempenhar Esta Tarefa

    Quando um funcionário encontra um e-mail suspeito, ele deve encaminhá-lo como um anexo para o seu endereço de e-mail de phishing. Se o e-mail anexado corresponder a uma regra que define uma ameaça, um incidente de segurança será criado.

    Procedimento

    1. Navegar até Tudo > Security Operations > Processamento de E-mails > Phishing relatado pelo usuário.
    2. Clique em Nova.
    3. Preencha os campos, conforme necessário.
      Tabela 6. Formulário Regras de correspondência de e-mail
      Campo Descrição
      Nome Nome para esta regra de correspondência de e-mail. Por exemplo, Phishing relatado pelo usuário.
      Condições Use o Construtor de condição para validar se um e-mail enviado para o endereço de e-mail de phishing da sua empresa é um ataque de phishing. Veja o exemplo a seguir.
    4. Clique em Enviar.

    Exemplo

    Este exemplo mostra uma regra de correspondência para lidar com phishing relatado pelo usuário.
    Figura 4. Exemplo de regra de correspondência de e-mail
    Regra de correspondência de e-mail