Administração do Gestão de incidentes graves de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Planeje e configure a sua implementação do Gestão de incidentes graves de segurança.

    Você pode configurar os seguintes aspectos da administração de Gestão de incidentes graves de segurança :

    Habilitar proposta, promoção e vinculação de incidentes de segurança graves

    Permita que os usuários decidam propor ou promover incidentes como incidentes de segurança graves. Rastreie facilmente todos os incidentes relacionados a um incidente de segurança grave, permitindo que os incidentes de segurança sejam vinculados ao incidente primário ou secundário.

    Antes de Iniciar

    Função necessária: sn_msi.workspace_admin

    Procedimento

    1. Navegar até Todos > Gestão de incidentes graves de segurança > Administração do MSI > Configurações.
    2. Permita que os usuários proponham um incidente de segurança a um incidente de segurança grave marcando a caixa de seleção Propor incidente de segurança grave na seção Ações do espaço SIR/VR.
    3. Permita que os usuários promovam um incidente de segurança a um incidente de segurança grave marcando a caixa de seleção Promover a incidente de segurança grave.
    4. Habilite a vinculação de um incidente de segurança a um incidente de segurança grave para que eles possam ser rastreados juntos marcando a caixa de seleção Vincular ao incidente de segurança grave.
    5. Selecione Atualizar.

    Marcar incidentes de segurança como incidentes de segurança graves

    Marque ou rotule os incidentes de segurança ou registros vulneráveis a um incidente de segurança grave quando o incidente for proposto ou promovido. Se um incidente de segurança for proposto, o registro do incidente será chamado de candidato a incidente de segurança grave. Quando uma segurança é promovida, o registro do incidente é referido como Incidente de segurança grave com o estado Aceito.

    Antes de Iniciar

    Função necessária: sn_msi.workspace_admin

    Procedimento

    1. Navegar até Todos > Gestão de incidentes graves de segurança > Administração do MSI > Configurações.
    2. Habilite a caixa de seleção Exibir rótulos para rotular o candidato a incidente proposto como incidente de segurança grave selecionando o campo de pesquisa Nome do rótulo - Propor como candidato e selecione Candidato a incidente de segurança grave na seção Rótulos do espaço SIR/VR.
    3. Habilite a caixa de seleção Exibir rótulos para rotular o candidato a incidente promovido como incidente de segurança grave selecionando o campo de pesquisa Nome do rótulo - Promoção a incidente de segurança grave e selecione Incidente de segurança grave na seção Rótulos do espaço SIR/VR.
    4. Selecione Atualizar.

    Configurar rótulos para incidentes de segurança graves

    Configure rótulos na gestão de incidentes de segurança graves para criar rótulos personalizados e filtrar as atividades e tarefas de colaboração externas no fluxo de atividades. Os diferentes tipos de rótulos implementados são rótulos de estado e rótulos de linha do tempo.

    Antes de Iniciar

    Função necessária: sn_msi.workspace_admin

    Procedimento

    1. Navegar até Todos > Gestão de incidentes graves de segurança > Administração do MSI > Configurações.
    2. Habilite a caixa de seleção Exibir rótulos para habilitar a rotulagem de diferentes estados de incidente, como Análise, Conter, Eliminar, Recuperar, Revisar, Evento da linha do tempo na seção Rótulos do espaço do MSIM (Exibir em atividades e tarefas de colaboração).
    3. Selecione Atualizar.

    Configurar rótulos para incidentes de segurança graves

    Configure diferentes tipos de rótulos para filtrar melhor e também indicar os estados do incidente. Os rótulos de incidentes de segurança graves fornecem a flexibilidade para rotular as atividades e tarefas de colaboração dos registros de incidentes.

    Antes de Iniciar

    Função necessária: sn_msi.workspace_admin

    Você pode marcar ou desmarcar os rótulos usando o ícone de rótulos que está disponível na seção Fluxo de atividades da seção Colaboração e organizador de tarefas do espaço do MSIM.

    Procedimento

    1. Navegar até Todos > Gestão de incidentes graves de segurança > Administração do MSI > Rótulos do ISG.
    2. Clique em Novo para criar um novo rótulo.
    3. Preencha o formulário com Nome dorótulo e Cor do rótulo.
    4. Clique em Criar rótulo.
    5. Como parte do sistema de base, a seguir estão os rótulos configurados para cada estado de incidente e você não pode modificar o nome ou a cor do rótulo:
      • Análise
      • Contém
      • Erradicar
      • Revisão
      • Recuperar
      • Evento da linha do tempo
      Nota:
      Você pode modificar os rótulos personalizados e suas propriedades.

    Configurar categorias de linha do tempo para incidentes de segurança graves

    Configure e atribua categorias de Linha do tempo, como Ameaça, Resposta ou Personalizado, aos seus incidentes de segurança graves usando a seção Linha do tempo na guia Visão geral.

    Antes de Iniciar

    Função necessária: sn_msi.workspace_admin

    Procedimento

    1. Navegar até Todos > Gestão de incidentes graves de segurança > Administração do MSI > Categorias da linha do tempo.
      As seguintes categorias de linha do tempo são fornecidas como parte do sistema de base:
      • Personalizado.
      • Resposta.
      • Ameaça.
    2. Para modificar uma categoria de evento de linha do tempo existente, execute as seguintes etapas:
      1. Selecione uma categoria de evento de linha do tempo na lista.
      2. Você pode modificar o nome da categoria de evento da linha do tempo.
      3. Você pode modificar a Cor do evento e selecionar outra cor para a categoria de evento da Linha do tempo.
      4. Selecione Atualizar.
    3. Para criar uma nova categoria de evento de linha do tempo, execute as seguintes etapas:
      1. Selecione Novo.
      2. No campo Nome, insira um nome para a categoria de evento da Linha do tempo.
      3. No campo Cor do evento, escolha uma cor para a categoria da linha do tempo do evento usando a lista suspensa.
      4. Selecione Enviar.

    Definir preferências de notificação para MSIM

    Automatize o processo de notificação por e-mail e notifique os usuários quando um incidente de segurança for proposto ou promovido a um candidato a incidente de segurança grave.

    Função necessária: sn_msi.workspace_admin.

    As notificações são acionadas somente quando um incidente de segurança é proposto e enviado a todos os usuários e grupos que estão configurados para a lista de notificações. Por padrão, a notificação por e-mail é recebida pelo usuário que propôs o incidente de segurança como um candidato a incidente de segurança grave.

    Notificação: incidente de segurança proposto (SI) como incidente de segurança grave (MSI)

    Quem receberá:

    • Por padrão, Revisores do MSI O nome do grupo foi criado e qualquer usuário adicionado a este grupo terá o privilégio de ser um Gerente do MSIM e os usuários desse grupo receberão os e-mails de notificação.
    • Qualquer usuário específico adicionado ao Usuários A lista também receberá os e-mails de notificação.

    O que ele conterá:

    Se você quiser modificar o conteúdo do e-mail, como o corpo do e-mail, que inclui o HTML do Assunto ou da Mensagem, você deve ter o acesso à função de Administrador do Sistema ou atribuído como Administrador do Sistema e não um Administrador do MSI.

    Notificação de SI proposta ao MSI
    Notificação: incidente de segurança promovido (SI) como incidente de segurança grave (MSI)

    Esta notificação é acionada quando um incidente de segurança é promovido e quando o Explorador de arquivos e a estrutura de base Microsoft Teams são criados. Por padrão, esta notificação é recebida pelo usuário que promoveu o incidente de segurança a um incidente de segurança grave.

    Quem receberá

    • Por padrão, um Grupo por nome Respondente do MSI foi criado e qualquer usuário adicionado a este grupo terá o privilégio de ter Respondente do MSIM A função e todos os usuários desse grupo receberão o e-mail de notificação.
    • Qualquer usuário específico adicionado ao Usuários A lista também receberá os e-mails de notificação.
    O que isso conterá

    Se você quiser modificar o conteúdo do e-mail, como o corpo do e-mail, que inclui o HTML do Assunto ou da Mensagem, você deve ter o acesso à função de Administrador do Sistema ou atribuído como Administrador do Sistema e não um Administrador do MSI.

    Notificação de SI Promovido a MSI

    Configurar atividades de fechamento do ISG

    Estabeleça ações que ocorrerão automaticamente quando um incidente de segurança grave for encerrado. Aumente a segurança arquivando e removendo automaticamente o acesso a pastas que contêm informações de resolução.

    Antes de Iniciar

    Função necessária: sn_msi.workspace_admin

    Procedimento

    1. Navegar até Todos > Gestão de incidentes graves de segurança > Administração do MSI > Configurações.
    2. Arquivar comunicações de bate-papo relacionadas a resolver o incidente marcando a caixa de seleção Arquivar canais de colaboração na seção Ações de fechamento automatizadas.
    3. Remova pastas que contêm material relacionado à resolução do incidente marcando a caixa de seleção Remover pastas de colaboração.
    4. Selecione Atualizar.