Modelo de fluxo de trabalho de reconhecimento de incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O reconhecimento geralmente é uma etapa preliminar para um ataque adicional que busca explorar um dispositivo ou sistema. O modelo Incidente de segurança - Reconhecimento - permite que você execute uma série de tarefas projetadas para lidar com o reconhecimento em sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando o. Categoria em um incidente de segurança está definido como Atividade de reconhecimento . Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Atividade de reconhecimento
    Modelo de fluxo de trabalho de reconhecimento

    Procedimento

    1. Abra o incidente de segurança para este possível ataque, ou crie um novo incidente de segurança .
    2. Em Categoria , selecione Atividade de reconhecimento .
    3. Salve o registro.
    4. Role para baixo e abra Tarefas de resposta lista relacionada.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado
      Tabela 1. Tarefas de resposta no modelo de reconhecimento
      Tarefa de resposta Ação Resultados
      Atividade de reconhecimento verificada? Determine se algum reconhecimento observado foi verificado.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim . Identificar os sistemas afetados a tarefa foi executada.

      Se você selecionar Não , o fluxo termina.
      Identificar os sistemas afetados Determine os sistemas afetados pelo reconhecimento. Quando esta tarefa estiver concluída, o. Permitir reconhecimento para análise de aplicação da lei? a tarefa foi executada.
      Permitir reconhecimento para análise de aplicação da lei? Determine se você deseja que o reconhecimento seja analisado pelas agências de aplicação da lei.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim . Processo de aplicação da lei a tarefa foi executada.

      Se você selecionar Não . Atualize o(s) sistema(s) para evitar o reconhecimento a tarefa foi executada.
      Processo de aplicação da lei Execute o processo de aplicação da lei conforme definido pela sua empresa. Quando esta tarefa estiver concluída, o. Atualize o(s) sistema(s) para evitar o reconhecimento a tarefa foi executada.
      Atualize o(s) sistema(s) para evitar o reconhecimento Execute as etapas necessárias para atualizar os sistemas afetados pelo reconhecimento. Quando esta tarefa estiver concluída, o. Definir estado para revisão a tarefa foi executada.
      Definir estado para revisão Nenhuma ação necessária. . Estado do incidente de segurança é alterado automaticamente para Revisão e o. Reunião de lições aprendidas a tarefa foi executada.
      Reunião de lições aprendidas Conduza uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este incidente de reconhecimento.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Quando esta tarefa é concluída, o fluxo termina.