Noções básicas do Resposta a incidentes de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Com Resposta a incidentes de segurança(SIR), gerencie o ciclo de vida de seus incidentes de segurança, desde a análise inicial até a contenção, erradicação e recuperação. A Resposta a incidentes de segurança permite que você obtenha uma compreensão abrangente dos procedimentos de resposta a incidentes realizados por analistas e entenda tendências e gargalos nesses procedimentos com painéis e relatórios orientados por análise.

    Assista a este vídeo de nove minutos para saber mais sobre o processo SIR, usando Resposta a incidentes de segurançapara impedir ataques e exibir atividades de segurança no Resposta a incidentes de segurançaExplorador.

    Integrações integradas com soluções de segurança cibernética de terceiros e integrações desenvolvidas por parceiros da ServiceNowStore Habilite a automação e orquestração de segurança para uma resposta eficiente e precisa a incidentes.

    Para proteger suas investigações e manter os incidentes de segurança privados, Resposta a incidentes de segurançaFornece os meios para restringir o acesso ao sistema a funções e ACLs específicas relacionadas à segurança. Os administradores não relacionados à segurança podem ser restringidos ao acesso, a menos que você permita expressamente a entrada deles.
    Nota:
    Os administradores do sistema DE TI [admin] podem representar usuários da ServiceNow. No entanto, ao representar um usuário com uma função de administrador de aplicação para Resposta a incidentes de segurança, um administrador não pode acessar recursos concedidos por essa função, incluindo incidentes de segurança e informações de perfil. O acesso a módulos e aplicações na barra de navegação também é restrito. Além disso, o administrador não pode mudar a senha de nenhum usuário com uma função de administrador da aplicação para Resposta a incidentes de segurança.

    Fluxo de informações de Resposta a incidentes de segurança

    A Resposta a incidentes de segurança emprega o seguinte fluxo de informações, desde a integração até a investigação e, em seguida, a resolução e a revisão.

    Nota:
    Este é um infográfico interativo, então você pode tentar clicar em qualquer um dos ícones ou etapas na imagem para saber mais sobre esse processo ou tarefa.
    Fluxo de informações de Resposta a incidentes de segurançaClique nesta imagem para saber mais sobre integrações DE SIRClique nesta imagem para saber mais sobre a criação de incidente de segurançaClique nesta imagem para saber mais sobre Inteligência contra ameaçasClique nesta imagem para saber mais sobre o Espaço SIRClique nesta imagem para saber mais sobre os recursos de ataque MITREClique nesta imagem para saber mais sobre as atividades de revisão pós-incidente

    Descoberta

    Os incidentes de segurança podem ser registrados ou criados das seguintes maneiras.
    • Do formulário Incidente de segurança
    • De eventos gerados internamente ou criados por monitoramento externo ou sistemas de acompanhamento de vulnerabilidades por meio de regras de alerta ou manualmente
    • De monitoramento externo ou sistemas de rastreamento
    • Do catálogo de serviços

    Análise

    Dependendo da exibição selecionada, que você estiver usando (Padrão, Segurança não relacionada à TI, ITIL de segurança e assim por diante), o formulário Incidente de segurança pode mostrar qualquer combinação de vulnerabilidades, incidentes, mudanças, problemas, tarefas no IC afetado e grupos de IC afetados. O sistema pode identificar malware, vírus e outras áreas de vulnerabilidade cruzando o banco de dados do National Institute of Standards and Technology (NIST) ou outro software de detecção de terceiros. À medida que os incidentes de segurança são resolvidos, você pode usar qualquer incidente para criar um artigo da base de conhecimento de segurança para referência futura.

    Execute uma análise adicional usando um mapa de serviços de negócios para localizar outros sistemas afetados ou serviços de negócios que possam ser infectados.

    Contenção, erradicação e recuperação

    Ao monitorar e analisar vulnerabilidades, você pode criar e atribuir tarefas a outros departamentos. Você pode usar um mapa de serviços de negócios para criar tarefas, problemas ou mudanças para todos os sistemas afetados, documentos, atividades, mensagens SMS, chamadas em ponte, e assim por diante.

    Revisão

    Após a resolução do incidente, outras etapas podem ocorrer antes do fechamento. Você pode executar uma revisão pós-incidente. A criação de artigos da base de conhecimento pode ajudar com futuros incidentes semelhantes. Incidentes significativos podem exigir uma revisão de resolução pós-incidente. Esta revisão pode assumir várias formas. Por exemplo:
    • Conduza uma reunião para discutir o incidente e coletar respostas.
    • Escreva e distribua às equipes que trabalharam em um incidente uma lista de perguntas de revisão de resolução projetadas para cada categoria ou prioridade do incidente.
    • Os gerentes de incidentes podem escrever o relatório e coletar informações por conta própria.
    Um relatório de revisão de resolução de incidentes pode ser gerado automaticamente, incluindo:
    1. um resumo do que foi feito
    2. a linha do tempo
    3. o tipo de incidente de segurança encontrado
    4. Todos os incidentes, mudanças, problemas, tarefas e grupos de IC relacionados
    5. os detalhes da resolução
    Além disso, um sistema automatizado de pesquisa de revisão de resolução de incidentes de segurança está disponível. Ele reúne os nomes de todos os usuários atribuídos a um incidente de segurança e envia uma pesquisa personalizada para coletar dados sobre o tratamento do incidente. Esses dados podem ser disponibilizados em um relatório de revisão de incidente de segurança gerado, que você pode editar em um rascunho final. Dados semelhantes podem ser adicionados a um artigo da base de conhecimento para conter as lições aprendidas e as etapas a serem seguidas para resolver problemas semelhantes no futuro.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Terminologia de resposta a incidentes de segurança

    Os termos a seguir são usados em Resposta a incidentes de segurança.
    Termo Definição
    Ativo Qualquer incidente de segurança que não esteja no estado Encerrado ou Cancelado.
    Bloqueio do administrador A capacidade de restringir Resposta a incidentes de segurançaAcesso ao pessoal com funções relacionadas à segurança e ACLs.
    Solicitações de segurança de entrada Solicitações enviadas para demandas de segurança de baixo impacto, como solicitar um novo crachá eletrônico.
    Gerencie atividades pós-incidente Uma revisão das origens e tratamento de um incidente de segurança. O produto final é um relatório pós-incidente, que documenta todas as ações realizadas e os motivos para fazê-las.
    Tarefas de resposta Tarefas atribuídas a um incidente de segurança para rastrear ações em resposta à ameaça.
    Noções básicas sobre calculadoras de incidentes de segurança Calculadoras usadas para atualizar valores de registro quando as condições pré-configuradas são atendidas.
    Mapas em árvore de incidentes de segurança Tipo de gráfico que mostra hierarquicamente os dados do incidente de segurança na forma de retângulos aninhados.
    Pesquisa de ameaças Uma solicitação enviada do catálogo de incidentes de segurança para verificar arquivos, URLs e endereços IP em busca de malware.
    Verificação de vulnerabilidade Uma solicitação iniciada no formulário Incidente de segurança para verificar recursos afetados (servidores, computadores e outros itens de configuração) em busca de vulnerabilidades.