Modelo de fluxo de trabalho de acesso não autorizado de incidente de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • O Incidente de segurança - Acesso não autorizado - Modelo permite que você execute uma série de tarefas projetadas para lidar com o acesso não autorizado à sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida como Acesso não autorizado. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Acesso não autorizado
    Modelo de fluxo de trabalho de acesso não autorizado

    Procedimento

    1. Abra o incidente de segurança para este possível ataque ou crie um novo incidente de segurança.
    2. Em Categoria, selecione Acesso não autorizado.
    3. Salve o registro.
    4. Role para baixo e abra a lista relacionada Tarefas de resposta.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado.
      Tabela 1. Tarefas de resposta no modelo de acesso não autorizado
      Tarefa de resposta Ação Resultados
      Credenciais de usuário comprometidas? Determine se alguma credencial de usuário foi comprometida.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, as duas tarefas a seguir serão executadas em paralelo:
      • Software malicioso?
      • Desativar conta do usuário

      Se você selecionar Não, a tarefa Entrar em contato com o usuário e determinar a intenção será executada.
      Software malicioso? Determine se o acesso não autorizado resultou na introdução de software mal-intencionado.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa Criar incidente de software mal-intencionado será executada.

      Se você selecionar Não, a tarefa Definir estado para revisão será executada.
      Criar incidente de software malicioso Execute as etapas necessárias para criar um incidente de segurança para o acesso não autorizado. Quando esta tarefa for concluída, a tarefa Definir estado para revisão será executada.
      Desativar conta do usuário Execute as etapas necessárias para desativar a conta do usuário comprometida. Quando esta tarefa for concluída, a tarefa Definir estado para revisão será executada.
      Entre em contato com o usuário e determine a intenção Execute as etapas necessárias para entrar em contato com o usuário responsável pelo acesso não autorizado e determinar o motivo da tentativa de acesso. Quando esta tarefa é concluída, a tarefa de processo de RH é executada.
      Processo de RH Execute as etapas necessárias para entrar em contato com os recursos humanos para implementar a ação disciplinar, se necessário. Quando esta tarefa for concluída, a tarefa Definir estado para revisão será executada.
      Definir estado como revisão Nenhuma ação necessária. O Estado do incidente de segurança é alterado automaticamente para Revisare o fluxo termina.