Modelo de fluxo de trabalho de serviço ou servidor invasor de incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O modelo Incidente de segurança - Servidor ou serviço invasor - permite que você execute uma série de tarefas projetadas para lidar com atividades de servidores ou serviços invasores que afetam sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando o. Categoria em um incidente de segurança está definido como Serviço ou servidor invasor . Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Servidor ou serviço invasor
    Modelo de fluxo de trabalho de serviço ou servidor invasor

    Procedimento

    1. Abra o incidente de segurança para este possível ataque, ou crie um novo incidente de segurança .
    2. Em Categoria , selecione Servidor invasor ou atividade de serviço .
    3. Salve o registro.
    4. Role para baixo e abra Tarefas de resposta lista relacionada.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado
      Tabela 1. Tarefas de resposta em servidor invasor ou modelo de serviço
      Tarefa de resposta Ação Resultados
      Serviço ou servidor invasor verificado? Determine se uma conexão com um servidor ou serviço invasor foi verificada em sua rede.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim , as duas tarefas a seguir são executadas em paralelo:
      • Identificar sistema(s) afetado(s)
      • Possível perda de dados?

      Se você selecionar Não , o fluxo termina.
      Identificar sistema(s) afetado(s) Determine os sistemas afetados pelo contato com o servidor ou serviço invasor. Quando esta tarefa estiver concluída, o. Atualizar sistema(s) - Remover conexões não autorizadas a tarefa foi executada.
      Possível perda de dados? Determine se a conexão com o servidor ou serviço invasor causou possível perda de dados.

      Na tarefa, selecione Sim ou Não em Resultado .

      		 Se você selecionar Sim . Crie um possível incidente de perda de dados a tarefa foi executada.

      Se você selecionar Não . Atualizar sistema(s) - Remover conexões não autorizadas a tarefa foi executada.
      Crie um possível incidente de perda de dados Execute as etapas necessárias para criar um incidente de segurança para a possível perda de dados. Quando esta tarefa estiver concluída, o. Atualizar sistema(s) - Remover conexões não autorizadas a tarefa foi executada.
      Atualizar sistema(s) - Remover conexões não autorizadas Execute as etapas necessárias para remover as conexões não autorizadas. Quando esta tarefa estiver concluída, o. Definir estado para revisão a tarefa foi executada.
      Definir estado para revisão Nenhuma ação necessária. . Estado do incidente de segurança é alterado automaticamente para Revisão e o. Reunião de lições aprendidas a tarefa foi executada.
      Reunião de lições aprendidas Conduza uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este incidente de serviço ou servidor invasor.

      Atualize o. Estado campo na tarefa conforme apropriado.

      		 Quando esta tarefa é concluída, o fluxo termina.