Incidente de segurança - Avaliar fluxo de trabalho de resultado da tarefa de resposta
Incidente de segurança - o fluxo de trabalho do resultado da tarefa Avaliar resposta determina a tarefa a ser usada, invoca um fluxo de trabalho escolhido e um script de avaliação com base no registro do avaliador de resultado fornecido como entrada para o fluxo de trabalho escolhido.
Antes de Iniciar
Função necessária: sn_si.write
Por Que e Quando Desempenhar Esta Tarefa
Este fluxo de trabalho deve ser executado ao mesmo tempo que a atividade de criação de tarefa a ser avaliada. O script de avaliação consulta os artefatos (como registros de pesquisa de detecções ou processos em execução) da capacidade configurada usando informações de contexto da tarefa de resposta (como o incidente de segurança primário) para determinar o resultado apropriado para a tarefa de resposta. O resultado pode ser dependente da atividade do fluxo de trabalho, mas geralmente é sim ou não. Ao criar um registro de avaliador de resultado, somente as capacidades que têm um fluxo de trabalho configurado, com a caixa É recurso baseado em tarefa marcada e um conjunto de variáveis de entrada de tarefa estão disponíveis para seleção.
- Executar script para determinar a tarefa de resposta
- Deve executar o fluxo de trabalho
- Fluxo de trabalho da capacidade de inicialização do inicializador de fluxo paralelo
- Criar evento de avaliação