Criar um incidente de segurança a partir da lista de incidentes de segurança

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

5 min. de leitura

Além dos métodos automáticos para criar incidentes de segurança, você pode criá-los manualmente, conforme necessário.

Este vídeo mostra uma visão geral de como você pode criar um incidente de segurança na lista de incidentes de segurança.

Antes de Iniciar

Função necessária: sn_si.basic

Procedimento

Navegue até qualquer lista de incidentes de segurança (por exemplo, Tudo > Incidente de segurança > Incidentes > Mostrar todos os incidentes).
Clique em Nova.

No formulário, preencha os campos.


Campo	Descrição
Selecione marcador de segurança	Se necessário, selecione um marcador de segurança para adicionar metadados ao registro ou identificar quem deve ter acesso a este registro de incidente de segurança. Este campo aparece somente depois que o incidente de segurança foi salvo.
Número	[Somente leitura] O número do incidente de segurança.
Solicitado por	A pessoa que está solicitando a execução do trabalho.
Item de Configuração	O servidor, computador, roteador ou outro item de configuração afetado pelo problema de segurança.
Usuário afetado	A pessoa afetada pelo problema de segurança.
Local	O local do solicitante ou recurso. Se um item de configuração não estiver selecionado, este campo será preenchido previamente com o local do solicitante.
Categoria	A categoria que identifica o tipo de problema de segurança. Se uma categoria for selecionada, um fluxo de trabalho para analisar esse problema será executado quando o registro for salvo. Por exemplo, se você selecionar Negação de serviço, o fluxo de trabalho Incidente de segurança - Negação de serviço - Modelo será executado. Para obter mais informações, consulte Modelos de fluxo de trabalho do Security Incident Response.
Subcategoria	A subcategoria que define melhor o problema.
Aberto(a)	[Somente leitura] Exibe a data e a hora em que o incidente foi aberto.
Estado	O estado atual do incidente de segurança. Na criação do incidente de segurança, o padrão deste campo é Rascunho.
Subestado	Identifica se o incidente de segurança inclui um problema ou mudança pendente.
Origem	Identifica a origem do incidente de segurança, como e-mail, chamada telefônica ou monitoramento de rede.
Sensor de alerta	Integração de segurança por meio da qual você ingere os dados de alerta ou evento, como Carbon Black, CrowdStrike, McAfee e assim por diante.
Regra de Alerta	A regra no produto de segurança que acionou a criação deste incidente de segurança.
Pontuação de risco	Exibe a pontuação de risco calculada para este incidente de segurança. O valor é baseado na prioridade do incidente de segurança, no tipo de incidente de segurança (negação de serviço, Spear Phishing ou atividade de código malicioso) e no número de origens que acionaram uma pontuação de reputação com falha em um indicador. A pontuação de risco ajuda a priorizar o trabalho de incidente de segurança para os analistas. Três propriedades de incidente de segurança permitem que você designe um ponto codificado por cores para aparecer ao lado da pontuação de risco na exibição de lista para torná-los mais facilmente identificáveis. Se você fizer mudanças em determinados campos no incidente de segurança, como Impacto nos negócios ou Prioridade, e salvar o registro, a Pontuação de risco será automaticamente recalculada e exibida. A mudança também é refletida nas anotações de trabalho e na lista relacionada Auditorias de pontuação de risco. Nota: A pontuação de risco também é recalculada quando os usuários afetados são associados a um incidente de segurança, serviços afetados ou itens vulneráveis. Você também pode inserir manualmente uma nova pontuação de risco. Isso pode ser útil se você quiser manter um incidente de segurança específico no topo da lista de incidentes de segurança que está analisando. Se você inserir uma nova Pontuação de risco, a caixa de seleção Substituição de pontuação de risco será marcada automaticamente. Independentemente das mudanças feitas no incidente de segurança, uma pontuação de risco inserida manualmente não é recalculada automaticamente. Nota: Se você atualizou sua instância de uma versão anterior, as pontuações de risco foram calculadas para todos os incidentes de segurança em aberto. Para obter mais informações, consulte Noções básicas sobre calculadoras de incidentes de segurança.
Substituição de pontuação de risco	Marque esta caixa de seleção para substituir a atualização automática da pontuação de risco. A substituição será refletida nas anotações de trabalho.
Impacto nos negócios	Selecione a importância deste incidente de segurança para o seu negócio. O valor padrão é Não crítico. Se, depois que o registro do incidente de segurança for salvo, você alterar o valor nos campos Prioridade /ou Risco, o Impacto nos negócios será recalculado.
Prioridade	Selecione a ordem de abordagem deste incidente de segurança, com base na urgência. Se este valor for alterado depois que o registro for salvo, isso poderá afetar o cálculo de impacto nos negócios.
Grupo de atribuição	O grupo ao qual este incidente de segurança está atribuído.
Atribuído a	O indivíduo atribuído para analisar este incidente de segurança. As atribuições podem ser realizadas manual ou automaticamente. Para obter mais informações, consulte Atribuição de analistas de segurança.
Descrição resumida	Uma breve descrição do incidente de segurança.
Resultados de conhecimento	Conforme você digita a descrição resumida, são exibidos links para artigos relacionados da base de conhecimento. Verificar as informações pode resolver seu problema.

Clique com o botão direito do mouse no cabeçalho do registro e selecione Salvar.
Se você adicionou um novo IC ao incidente de segurança, os seguintes fluxos de trabalho de integração serão executados automaticamente:
- Operações de segurança - Obter fluxo de processos em execução. Este fluxo de trabalho recupera uma lista de processos em execução em um item de configuração (IC) de um host ou endpoint.
- Fluxo de trabalho do Security Incident Response - Obter serviços em execução. Este fluxo de trabalho recupera uma lista de serviços em execução de ICs baseados no Windows.
- Integrações de Operações de segurança - Fluxo Obter estatísticas de rede. Este fluxo de trabalho recupera uma lista de conexões de rede ativas de um host ou endpoint.
Para exibir as informações recuperadas por esses fluxos de trabalho, clique no link relacionado Mostrar dados de aprimoramento e clique em qualquer uma das guias indicadas.

Nota:
Fluxos de trabalho adicionais são executados com base nas integrações de terceiros que você ativou da seguinte forma Security Operations Carbon Black Integration - Obter fluxo de processos em execução