Incidentes de segurança criados a partir de eventos e alertas

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • À medida que os eventos são importados das ferramentas de monitoramento de alertas, eles são processados primeiro por Gestão de eventose agrupados em alertas. Esses alertas podem ser usados para criar incidentes de segurança com base em regras de alerta personalizáveis ou revisados manualmente para selecionar os alertas a serem investigados como um incidente de segurança.

    Você pode encontrar um exemplo de regra de alerta chamada Crie incidentes de segurança a partir de alertas críticos em Regras de Alertamódulo do Gestão de eventosaplicação. Esta regra de alerta cria automaticamente incidentes de segurança quando eventos críticos relacionados à segurança são recebidos de dentro ServiceNow ou de aplicações de monitoramento de terceiros. Depois que o incidente de segurança for criado, ele será atualizado conforme novos eventos forem recebidos. Você pode modificar o modelo de tarefa na regra de alerta para mudar os valores iniciais do incidente de segurança criado por esta regra de alerta. Para lidar com cada variedade distinta de incidente de segurança que você deseja criar, defina outras regras de alerta com condições diferentes.

    Se você for um usuário com a função de administrador de segurança, poderá criar manualmente um incidente de segurança clicando em Criar incidente de segurança botão de qualquer alerta suspeito.

    É importante que os eventos recebidos de ferramentas externas incluam as seguintes informações:
    • O nó definido como o nome, endereço IP ou sys_id do IC que se torna o recurso afetado.
    • A classificação de evento é definida como Segurança para diferenciá-los de outros eventos DE TI.
    • A descrição do evento, que preenche a descrição do incidente de segurança.
    • As informações adicionais podem incluir informações extras que não se encaixam nos campos listados anteriormente ou em outros campos de evento, como categoria, vetores de ataque, URL de retorno ou ID de correlação. O formato é uma cadeia de caracteres que lista os nomes de campos junto com seus valores, usando o seguinte formato JSON:
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Nota:
    Para cada campo e par de valor, se o campo no incidente de segurança em que o nome da coluna corresponde ao fieldName estiver vazio, ele será definido como fieldValue. Se o campo no incidente de segurança não estiver vazio, ele não será alterado. Em ambos os casos, o evento e todos os campos e valores codificados nas informações adicionais são registrados em uma entrada de anotações de trabalho descrevendo o evento. Se nada mudar no incidente de segurança, uma entrada de anotação de trabalho não será criada. Todos os campos em um incidente de segurança, incluindo campos personalizados adicionados à tabela, podem ser definidos.