Outras tarefas de configuração Resposta a incidentes de segurança adicionais

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

10 min. de leitura

Se você for um administrador no domínio global, configure como Resposta a incidentes de segurança lida com as operações diárias.

Antes de Iniciar

Função necessária: sn_si.admin

Nota:

Essas opções são padrão para muitas aplicações de gestão de serviços e, como tal, usam a terminologia de gestão de serviços. Por exemplo, Solicitação é usada para a tarefa principal (ou seja, o incidente de segurança) e Tarefa é usada para subtarefas ou Tarefas de resposta.

Se você for um administrador em um domínio inferior ao domínio global, poderá exibir a tela Configurações, mas não poderá modificar as configurações.

Procedimento

Navegar até Tudo > Incidente de segurança > Administração > Configuração.
As opções para configurar as aplicações são organizadas nestas guias:
- A guia Processo de negócios contém opções para configurar o ciclo de vida da solicitação, criar catálogos e solicitações e configurar notificações.
- A guia Atribuição contém opções para configurar a atribuição manual e automática.
- A guia Complementos contém opções para habilitar a base de conhecimento, documentos gerenciados e atividades de tarefa.

Preencha os campos na guia Processo de negócios.

Tabela 1. Tela de configuração — Guia Processo de negócios
Campo	Descrição
Ciclo de vida
As Anotações de trabalho são necessárias para fechar ou cancelar uma solicitação ou tarefa	Habilite esta opção para exigir que o usuário insira anotações de trabalho antes que um incidente de segurança ou tarefa de resposta possa ser encerrado ou cancelado.
Copiar anotações de trabalho da tarefa para solicitação	Habilite esta opção para sincronizar as anotações de trabalho da tarefa de resposta com as anotações de trabalho no incidente de segurança. Portanto, quando anotações de trabalho na tarefa são adicionadas, as mesmas anotações de trabalho aparecem no incidente de segurança primário.
Criação de Solicitação e Catálogo
Criar ou atualizar solicitações por e-mail de entrada	Habilite esta opção para criar ou atualizar incidentes de segurança a partir de e-mails de entrada.
As solicitações são criadas usando	Selecione catálogo ou formulário regular para ativar o catálogo e habilitar a publicação automática de modelos de incidente de segurança no catálogo. Selecione o formulário regular somente para desativar o catálogo e desabilitar a publicação automática de modelos de incidente de segurança no catálogo.
Os modelos criam um item do catálogo dedicado	Habilite esta opção para ativar a publicação automática de itens do catálogo para a aplicação.
Notificações
Para uma solicitação ou tarefa, quando o campo selecionado mudar, envie uma notificação aos destinatários	Você pode configurar notificações a serem enviadas a destinatários específicos quando os campos selecionados em incidentes de segurança e tarefas de resposta forem alterados. Em Tabela, selecione Solicitação (incidente de segurança ou Tarefa (tarefa de resposta). Em Campo, selecione o campo a ser usado para gerar notificações. Quando uma mudança é feita no campo selecionado, uma notificação é enviada aos destinatários identificados. Em Destinatários, selecione um ou mais destinatários. Se você selecionar um usuário ou grupo específico, será solicitado a selecionar um usuário ou grupo. Para definir mais notificações usando outros campos ou destinatários, repita as etapas anteriores para o próximo conjunto de configurações de notificação. Para remover uma notificação, clique no ícone à direita da notificação.

Clique na guia Atribuição e preencha os campos.

Tabela 2. Tela de configuração — Guia Atribuição
Campo	Descrição
Método de atribuição para solicitações	Selecione o método para atribuir incidentes de segurança: usando atribuição automática: os incidentes de segurança são atribuídos automaticamente. usando um fluxo de trabalho: os incidentes de segurança são atribuídos pelo fluxo de trabalho selecionado. manualmente: os incidentes de segurança são atribuídos manualmente.
Use este fluxo de trabalho para atribuir solicitações	Selecione o fluxo de trabalho para expedir incidentes de segurança. Este campo aparece quando o uso de um fluxo de trabalho é selecionado na lista Método de atribuição para solicitações.
Método de atribuição para tarefas	Selecione o método para atribuir tarefas de resposta: usando atribuição automática: as tarefas de resposta são atribuídas automaticamente. usando um fluxo de trabalho: as tarefas de resposta são atribuídas pelo fluxo de trabalho selecionado. manualmente: as tarefas de resposta são atribuídas manualmente.
Use este fluxo de trabalho para atribuir tarefas	Selecione o fluxo de trabalho para atribuir tarefas de resposta. Este campo aparece quando o uso de um fluxo de trabalho é selecionado na lista Método de atribuição para tarefas.
Atribuir solicitações ou tarefas com base nas áreas cobertas do grupo de atribuições	Habilite esta opção para limitar a atribuição de incidentes de segurança e tarefas de resposta a grupos que cobrem o local da tarefa.
Programando
A seleção automática de agentes considera o fuso horário para as tarefas	Habilite esta opção para considerar o fuso horário do agente ao atribuir uma tarefa. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
Fatores adicionais
A seleção automática de agentes considera a localização dos agentes	Habilite esta opção para dar preferência aos agentes que estão mais próximos do local da tarefa ao atribuir tarefas. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
A seleção automática de agentes requer tarefas que eles estejam aptos a realizar	Selecione o grau em que as habilidades do agente devem corresponder a uma tarefa ao determinar a atribuição automática. Selecione tudo para exigir que um agente atribuído tenha todas as habilidades para executar a tarefa. Um agente que não tiver pelo menos uma habilidade será eliminado. Selecione algumas se quiser agentes que tenham a maioria das habilidades necessárias para executar a tarefa. Selecione nenhum se quiser atribuir agentes automaticamente sem levar em conta as habilidades. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
Tentativa de seleção automática de atribuir o mesmo agente a todas as tarefas em uma solicitação	Habilite esta opção para atribuir automaticamente todas as tarefas de resposta de um incidente de segurança ao mesmo agente.

Clique na guia Complementos e preencha os campos.

Tabela 3. Tela de configuração — Guia Complementos
Campo	Descrição
Documentação
Habilitar uma base de conhecimento dedicada	Habilite esta opção para ativar a base de conhecimento para Resposta a incidentes de segurança.
Habilitar documentos gerenciados	Habilite esta opção para adicionar uma lista relacionada a documentos gerenciados.
Habilitar atividades da tarefa	Habilite esta opção para registrar interações e comunicações de tarefas, como chamadas telefônicas e mensagens de e-mail.

Clique em Salvar.

Bloquear administração de segurança

Para proteger as investigações e manter os incidentes de segurança privados, você pode restringir o acesso Resposta a incidentes de segurança a funções e ACLs específicas de segurança. Os administradores que não são de segurança podem ter acesso restrito, a menos que você permita expressamente a entrada.

Antes de Iniciar

Quando a aplicação Resposta a incidentes de segurança é ativada, o usuário Administrador do sistema recebe a função sn_si.admin por padrão. O Administrador do sistema é o único administrador que pode configurar grupos e usuários de segurança.

Uma função de segurança é necessária para ter acesso a Resposta a incidentes de segurança recursos e registros.

Função necessária: sn_si.admin

Procedimento

Depois que o plug-in Resposta a incidentes de segurança é ativado, um usuário com a função de administrador atribui a função de administrador com escopo (sn_si.admin) a pelo menos um usuário.
O usuário com a função de administrador muda para o escopo do Incidente de segurança.
Navegar até Tudo > sys_store_app.list.
Digite sn_si no campo Escopo.
Clique em Resposta a incidentes de segurança.
Role para baixo até Links relacionados e clique em Remover da função contida por administrador.
Saia e faça login novamente.

O usuário administrador não pode acessar a aplicação Resposta a incidentes de segurança.

Gerenciar acesso de chamador restrito

O recurso Acesso de chamador restrito (RCA) permite que um administrador defina o acesso entre escopos a uma aplicação ou recurso de aplicação e permita ou negue solicitações de acesso. Este recurso está habilitado em Resposta a incidentes de segurança por padrão para que os analistas de segurança possam proteger informações confidenciais relacionadas à segurança.

Um campo chamado Acesso do solicitante foi adicionado a todas as tabelas e inclusões de script em Resposta a incidentes de segurança, e o padrão do campo é Acompanhamento de chamadas. Essa configuração significa que os escopos da aplicação têm permissão para acessar Resposta a incidentes de segurança tabelas e inclusões de script. No entanto, um registro de acompanhamento é criado para cada registro e armazenado na tabela Privilégio de acesso de solicitante restrito [sys_restricted_caller_access].

Nota:

Tenha cuidado ao mudar os registros de Acompanhamento de chamadas para Restrito a chamadores. Registros com este status não podem ser acessados até que um administrador permita manualmente o acesso a eles. O administrador deve navegar até Aplicações do sistema > Acesso de chamador restrito a aplicação, localize a tabela ou inclusão de script para a qual o acesso foi solicitado e altere o campo Status de Solicitado para Permitido.

Executar testes de início rápido para Resposta a incidentes de segurança

Valide se Resposta a incidentes de segurança ainda funciona depois que você faz mudanças de configuração, como aplicar um upgrade ou desenvolver uma aplicação. Copie e personalize esses testes de início rápido para aprovar ao usar seus dados específicos da instância.

Os testes de início rápido Resposta a incidentes de segurança exigem a ativação do plug-in Resposta a incidentes de segurança (com.snc.security_incident) e o carregamento dos dados de demonstração.

Tabela 4. Testes Resposta a incidentes de segurança
Teste	Descrição	Versão de lançamento
SIR: criar incidente de segurança	Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança.	Yokohama
SIR: criar incidente de segurança por meio do catálogo de incidentes de segurança	Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança.	Yokohama
SIR: ciclo de vida do incidente de segurança	Valide as tarefas de resposta do fluxo de trabalho de violação de política.	Yokohama
SIR: pesquisa de ameaças	Valida a funcionalidade de pesquisa de ameaças.	Yokohama
SIR: configuração OOTB das avaliações de PIR	Use este teste para validar avaliações de PIR e configurações de sistema de base.	Yokohama
SIR: configuração condicional das avaliações de PIR	Verifique se incidentes de segurança correspondentes à regra condicional obrigatória não são encerrados sem a conclusão da avaliação pós-incidente. Verifique se os incidentes de segurança correspondentes à regra condicional opcional podem ser encerrados sem a conclusão da avaliação pós-incidente. Verifique se as avaliações não são geradas para os incidentes de segurança que não correspondem a nenhuma regra.	Yokohama
SIR: verificação do tempo de execução do PIR	Verifique se os relatórios PIR estão configurados e anexados aos incidentes de segurança de acordo com o novo design.	Yokohama
SIR: verificação de configuração do tempo de design do PIR	Verifique se o incidente de segurança está mapeado com o modelo de relatório baseado na configuração do administrador.	Yokohama
SIR: Vincular o incidente de segurança a um importante incidente de segurança existente	Vincule um Incidente de Segurança a um Incidente de Segurança Importante existente e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante.	Yokohama
SIR: promover o incidente de segurança como um incidente de segurança importante	Promova um Incidente de Segurança como um Incidente de Segurança Importante e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante.	Yokohama
SIR: propor Incidente de Segurança como Incidente de Segurança Importante	Proponha um Incidente de Segurança como Incidente de Segurança Importante e valide os dados de Incidente de Segurança implementados no Incidente de Segurança Importante.	Yokohama
Verifique se somente Membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ATIVADA	Verifique se somente membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ativada.	Yokohama
Verifique se somente Grupos permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ATIVADA	Verifique se somente grupos permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ativada.	Yokohama
Validar acesso de leitura	Valide o acesso de exibição.	Yokohama
Validar acesso de gravação	Valide o acesso de edição.	Yokohama
Espaço SIR: acesso de leitura	Verifique se o usuário com acesso de leitura pode exibir o incidente de segurança sem ter funções de segurança, mesmo no espaço	Yokohama
Espaço SIR: acesso de gravação	Verifique se o usuário com acesso de gravação pode atualizar o incidente de segurança sem ter funções de segurança	Yokohama
Espaço SIR: criar novo incidente de segurança	Criar novo incidente de segurança a partir do espaço	Yokohama
Espaço SIR: criar tarefa de resposta	Criar nova tarefa de resposta a partir de um incidente de segurança existente	Yokohama