Incidente de segurança - Avaliar fluxo de trabalho do resultado da tarefa de resposta

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • O fluxo de trabalho de resultado da tarefa Incidente de segurança - Avaliar resposta determina a tarefa a ser usada, invoca um fluxo de trabalho escolhido e um script de avaliação com base no registro do avaliador de resultados fornecido como entrada para o fluxo de trabalho escolhido.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    Este fluxo de trabalho deve ser executado ao mesmo tempo que a atividade de criação de tarefa a ser avaliada. O script de avaliação consulta os artefatos (como registros de pesquisa de detecções ou processos em execução) da capacidade configurada usando informações de contexto da tarefa de resposta (como o incidente de segurança primário) para determinar o resultado apropriado para a tarefa de resposta. O resultado pode ser dependente da atividade de fluxo de trabalho, mas geralmente é sim ou não. Ao criar um avaliador de resultados, somente as capacidades que têm um fluxo de trabalho configurado, com a caixa Capacidade baseada em tarefa marcada e um conjunto de variáveis de entrada de tarefa estão disponíveis para seleção.

    As atividades do processo de fluxo de trabalho incluem:
    • Executar script para determinar a tarefa de resposta
    • Deve executar fluxo de trabalho
    • Fluxo de trabalho da capacidade de inicialização do inicializador de fluxo paralelo
    • Criar evento de avaliação
    Figura 1. Avaliar resultado da tarefa de resposta
    Diagrama de fluxo de trabalho do resultado da resposta de avaliação do incidente de segurança