Noções básicas do Security Incident Response

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Com Security Incident Response (SIR), gerencie o ciclo de vida de seus incidentes de segurança, desde a análise inicial até a contenção, erradicação e recuperação. O Security Incident Response permite que você obtenha uma compreensão abrangente dos procedimentos de resposta do incidente realizados por seus analistas e entenda as tendências e gargalos nesses procedimentos com painéis e relatórios orientados por análise.

    Assista a este vídeo de nove minutos para saber mais sobre o processo SIR, usando Security Incident Response para impedir ataques e exibindo a atividade de segurança no Security Incident Response Explorer.

    Integrações integradas com soluções de segurança cibernética de terceiros e integrações desenvolvidas por parceiros da ServiceNow Store permitem a automação e a orquestração da segurança para uma resposta eficiente e precisa a incidentes.

    Para proteger suas investigações e manter os incidentes de segurança privados, Security Incident Response fornece os meios para restringir o acesso ao sistema a funções e ACLs relacionadas à segurança específicas. Os administradores que não são de segurança podem ter acesso restrito, a menos que você permita expressamente a entrada.
    Nota:
    Os administradores do sistema de TI [admin] podem representar usuários da ServiceNow. No entanto, ao representar um usuário com uma função de administrador de aplicações para o Security Incident Response, um administrador não pode acessar recursos concedidos por essa função, incluindo incidentes de segurança e informações de perfil. O acesso a módulos e aplicações na barra de navegação também é restrito. Além disso, o administrador não pode mudar a senha de nenhum usuário com uma função de administrador de aplicação para o Security Incident Response.

    Fluxo de informações do Security Incident Response

    O Security Incident Response emprega o seguinte fluxo de informações, desde a integração até a investigação e, em seguida, até a resolução e a revisão.

    Nota:
    Este é um infográfico interativo, então você pode tentar clicar em qualquer um dos ícones ou etapas na imagem para saber mais sobre esse processo ou tarefa.
    Fluxo de informações do Security Incident ResponseClique nesta imagem para saber mais sobre integrações SIRClique nesta imagem para saber mais sobre a criação de incidentes de segurançaClique nesta imagem para saber mais sobre Inteligência contra ameaçasClique nesta imagem para saber mais sobre o Espaço SIRClique nesta imagem para saber mais sobre os recursos de ataque do MITREClique nesta imagem para saber mais sobre as atividades de análise pós-incidente

    Descoberta

    Os incidentes de segurança podem ser registrados ou criados das seguintes maneiras.
    • No formulário de Incidente de segurança
    • De eventos gerados internamente ou criados por sistemas externos de monitoramento ou acompanhamento de vulnerabilidades por meio de regras de alerta ou manualmente
    • De sistemas externos de monitoramento ou acompanhamento
    • Do catálogo de serviços

    Análise

    Dependendo da exibição selecionada que você está usando (padrão, segurança não relacionada a TI, segurança ITIL e assim por diante), o formulário de incidente de segurança pode mostrar qualquer combinação de vulnerabilidades, incidentes, mudanças, problemas, tarefas no IC afetado e no IC afetado grupos. O sistema pode identificar malware, vírus e outras áreas de vulnerabilidade fazendo referência cruzada ao banco de dados do Instituto Nacional de Padrões e Tecnologia (NIST) ou a outro software de detecção de terceiros. Conforme os incidentes de segurança são resolvidos, você pode usar qualquer incidente para criar um artigo da base de conhecimento de segurança para referência futura.

    Realize análises adicionais usando um mapa de serviços de negócio para localizar outros sistemas afetados ou serviços de negócio que podem estar infectados.

    Contenção, Erradicação e Recuperação

    Ao monitorar e analisar vulnerabilidades, você pode criar e atribuir tarefas a outros departamentos. Você pode usar um mapa de serviços de negócio para criar tarefas, problemas ou mudanças para todos os sistemas, documentos, atividades, mensagens SMS, chamadas em ponte afetados e assim por diante.

    Revisão

    Depois que o incidente for resolvido, outras etapas podem ocorrer antes do fechamento. Você pode executar uma análise pós-incidente. A criação de artigos da base de conhecimento pode ajudar em futuros incidentes semelhantes. Incidentes significativos podem exigir uma revisão de resolução pós-incidente. Esta revisão pode assumir várias formas. Por exemplo:
    • Conduzir uma reunião para discutir o incidente e coletar respostas.
    • Escreva e distribua para as equipes que trabalharam em um incidente uma lista de perguntas de análise de resolução projetadas para cada categoria ou prioridade de incidente.
    • Os gerentes de incidentes podem escrever o relatório e coletar informações por conta própria.
    Um relatório de revisão de resolução de incidente pode ser gerado automaticamente, incluindo:
    1. um resumo do que foi feito
    2. a linha do tempo
    3. o tipo de incidente de segurança encontrado
    4. todos os incidentes, mudanças, problemas, tarefas, grupos de IC relacionados
    5. os detalhes da resolução
    Além disso, um sistema automatizado de pesquisa de revisão de resolução de incidentes de segurança está disponível. Ele reúne os nomes de todos os usuários atribuídos a um incidente de segurança e envia uma pesquisa personalizada para coletar dados sobre o tratamento do incidente. Esses dados podem ser disponibilizados em um relatório de revisão de incidente de segurança gerado, que você pode editar em um rascunho final. Dados semelhantes podem ser adicionados a um artigo da base de conhecimento para conter as lições aprendidas e as etapas a serem seguidas para resolver problemas semelhantes no futuro.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Terminologia do Security Incident Response

    Os termos a seguir são usados em Security Incident Response.
    Termo Definição
    Ativo Qualquer incidente de segurança que não esteja no estado encerrado ou cancelado.
    Bloqueio de administrador A capacidade de restringir o acesso Security Incident Response ao pessoal com funções e ACLs relacionadas à segurança.
    Solicitações de segurança de entrada Solicitações enviadas para demandas de segurança de baixo impacto, como solicitar um novo crachá eletrônico.
    Gerenciar atividades pós-incidente Uma revisão das origens e do tratamento de um incidente de segurança. O produto final é um relatório pós-incidente, que documenta todas as ações realizadas e os motivos para realizá-las.
    Tarefas de resposta Tarefas atribuídas a um incidente de segurança para rastrear ações em resposta à ameaça.
    Noções básicas sobre calculadoras de incidentes de segurança Calculadoras usadas para atualizar valores de registro quando condições pré-configuradas são atendidas.
    Mapas de árvore de incidentes de segurança Tipo de gráfico que mostra hierarquicamente os dados de incidentes de segurança na forma de retângulos aninhados.
    Pesquisa de ameaças Uma solicitação enviada do catálogo de incidentes de segurança para verificar arquivos, URLs e endereços IP em busca de malware.
    Verificação de vulnerabilidade Uma solicitação iniciada a partir do formulário de Incidente de segurança para verificar recursos afetados (servidores, computadores e outros itens de configuração) em busca de vulnerabilidades.