Modelo de fluxo de trabalho de Exposição de dados confidenciais de incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O modelo Incidente de segurança - Exposição de dados confidenciais - permite que você execute uma série de tarefas projetadas para lidar com a exposição de dados confidenciais.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida ou alterada para Exposição de dados de identidade pessoal confidencial. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Exposição de dados de identidade pessoal confidencial
    Modelo de exposição de dados confidenciais

    Procedimento

    1. Abra o incidente de segurança para o qual você deseja lidar com a exposição a dados confidenciais ou crie um novo incidente de segurança.
    2. Em Categoria, selecione Exposição de dados de identidade pessoal confidencial.
    3. Salve o registro.
    4. Role para baixo e abra a lista relacionada Tarefas de resposta.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo seja encerrado.
      Tabela 1. Tarefas de resposta no modelo de exposição de dados confidenciais
      Tarefa de resposta Descrição Resultados
      Os dados são confidenciais? Determine se os dados associados a este incidente de segurança são confidenciais. Na tarefa, selecione Sim ou Não em Resultado. Se você selecionou Sim, a próxima tarefa de resposta será executada.

      Se você selecionou Não, o fluxo será encerrado.
      Determinar a causa raiz e impedir a saída Determine a causa raiz do ataque e adicione a filtragem de saída para interromper a exfiltração, atualizando o campo Estado na tarefa conforme apropriado. Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Eliminar exposição relacionada à causa raiz Com base na causa raiz, execute as etapas para eliminar a exposição, atualizando o campo Estado na tarefa conforme apropriado. Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Colocar artefatos residuais em quarentena Execute as etapas para colocar em quarentena quaisquer artefatos residuais, atualizando o campo Estado na tarefa conforme apropriado. Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Processo jurídico Execute as etapas para atender aos requisitos jurídicos desta análise, atualizando o campo Estado na tarefa conforme apropriado. Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Processo de RC Execute as etapas para atender aos requisitos de RC desta análise, atualizando o campo Estado na tarefa conforme apropriado. Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
      Definir estado como revisão Nenhuma ação necessária. O Estado do incidente de segurança é alterado automaticamente para Revisão.
      Reunião de lições aprendidas Conduza uma reunião de lições aprendidas para fazer a triagem do trabalho realizado nesses dados confidenciais, atualizando o campo Estado na tarefa conforme apropriado. Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, o incidente de segurança permanecerá no estado Revisão até que você o feche.