Adicional Resposta a incidentes de segurança tarefas de configuração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 10 min. de leitura

    • Se você for um administrador no domínio global, configure como Resposta a incidentes de segurança lida com operações diárias.

    Antes de Iniciar

    Função necessária: sn_si.admin
    Nota:

    Essas opções são padrão para muitas aplicações de gestão de serviços e, como tal, usam a terminologia de gestão de serviços. Por exemplo, Solicitação é usada para a tarefa principal (ou seja, o incidente de segurança) e Tarefa é usada para subtarefas ou tarefas de resposta.

    Se você for um administrador em um domínio inferior ao domínio global, poderá exibir a tela Configurações, mas não poderá modificar as configurações.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Administração > Configuração.
      As opções para configurar as aplicações estão organizadas nestas guias:
      • . Processo de negócios contém opções para configurar o ciclo de vida da solicitação, criar catálogos e solicitações e configurar notificações.
      • . Atribuição contém opções para configurar atribuição manual e automática.
      • . Complementos contém opções para habilitar a base de conhecimento, documentos gerenciados e atividades de tarefa.
    2. Preencha os campos em Processo de negócios guia.
      Tabela 1. Tela de configuração - Guia Processo de negócios
      Campo Descrição
      Ciclo de vida
      As anotações de trabalho são necessárias para fechar ou cancelar uma solicitação ou tarefa Habilite esta opção para exigir que o usuário insira anotações de trabalho antes que um incidente de segurança ou tarefa de resposta possa ser encerrado ou cancelado.
      Copiar anotações de trabalho da tarefa para solicitação Habilite esta opção para sincronizar as anotações de trabalho da tarefa de resposta com as anotações de trabalho no incidente de segurança. Portanto, quando anotações de trabalho na tarefa são adicionadas, as mesmas anotações de trabalho aparecem no incidente de segurança primário.
      Criação de Solicitação e Catálogo
      Criar ou atualizar solicitações por e-mail de entrada Habilite esta opção para criar ou atualizar incidentes de segurança a partir de e-mails de entrada.
      As solicitações são criadas usando Selecione formulário de catálogo ou regular para ativar o catálogo e habilitar a publicação automática de modelos de incidentes de segurança no catálogo.

      Selecione formulário regular somente para desativar o catálogo e desabilitar a publicação automática de modelos de incidente de segurança no catálogo.
      Os modelos criam um item do catálogo dedicado Habilite esta opção para ativar a publicação automática de itens do catálogo para a aplicação.
      Notificações
      Para uma solicitação ou tarefa, quando o campo selecionado mudar, envie uma notificação aos destinatários Você pode configurar notificações para serem enviadas a destinatários específicos quando os campos selecionados em incidentes de segurança e tarefas de resposta mudarem.
      1. De Tabela , selecione Solicitação (incidente de segurança ou Tarefa (tarefa de resposta) .
      2. De Campo , selecione o campo a ser usado para gerar notificações. Quando uma mudança é feita no campo selecionado, uma notificação é enviada aos destinatários identificados.
      3. De Destinatários selecione um ou mais destinatários.
      4. Se você selecionar um usuário específico ou um grupo específico , você será solicitado a selecionar um usuário ou grupo.
      5. Para definir mais notificações usando outros campos ou destinatários, repita as etapas anteriores para o próximo conjunto de configurações de notificação.
      6. Para remover uma notificação, clique em símbolo de exclusão de notificaçãoícone à direita da notificação.
    3. Clique em Atribuição e preencha os campos.
      Tabela 2. Tela de configuração - Guia Atribuição
      Campo Descrição
      Método de atribuição para solicitações Selecione o método para atribuir incidentes de segurança:
      • usando atribuição automática : Incidentes de segurança são atribuídos automaticamente.
      • usando um fluxo de trabalho : Incidentes de segurança são atribuídos pelo fluxo de trabalho selecionado.
      • manualmente : Incidentes de segurança são atribuídos manualmente.
      Use este fluxo de trabalho para atribuir solicitações Selecione o fluxo de trabalho para expedir incidentes de segurança. Este campo aparece quando usando um fluxo de trabalho selecionado em Método de atribuição para solicitações lista.
      Método de atribuição para tarefas Selecione o método para atribuir tarefas de resposta:
      • usando atribuição automática Tarefas de resposta são atribuídas automaticamente.
      • usando um fluxo de trabalho Tarefas de resposta são atribuídas pelo fluxo de trabalho selecionado.
      • manualmente Tarefas de resposta são atribuídas manualmente.
      Use este fluxo de trabalho para atribuir tarefas Selecione o fluxo de trabalho para atribuir tarefas de resposta. Este campo aparece quando usando um fluxo de trabalho selecionado em Método de atribuição para tarefas lista.
      Atribuir solicitações ou tarefas com base nas áreas cobertas do grupo de atribuições Habilite esta opção para limitar a atribuição de incidentes de segurança e tarefas de resposta a grupos que cobrem o local da tarefa.
      Programando
      A seleção automática de agentes considera o fuso horário para tarefas Habilite esta opção para considerar o fuso horário do agente ao atribuir uma tarefa. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      Fatores adicionais
      A seleção automática de agentes considera a localização dos agentes Habilite esta opção para dar preferência aos agentes que estão mais próximos do local da tarefa ao atribuir tarefas. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      A seleção automática de agentes requer tarefas que eles estejam aptos a realizar Selecione o grau em que as habilidades do agente devem ser correspondidas a uma tarefa ao determinar a atribuição automática.
      • Selecione todos exigir que um agente atribuído tenha todas as habilidades para executar a tarefa. Um agente que não tem uma habilidade é eliminado.
      • Selecione alguns se você quiser agentes que tenham a maioria das habilidades necessárias para executar a tarefa.
      • Selecione nenhum se você quiser atribuir agentes automaticamente sem levar em conta as habilidades. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      Tentativa de seleção automática de atribuir o mesmo agente a todas as tarefas em uma solicitação Habilite esta opção para atribuir automaticamente todas as tarefas de resposta de um incidente de segurança ao mesmo agente.
    4. Clique em Complementos e preencha os campos.
      Tabela 3. Guia Configuração - Guia Complementos
      Campo Descrição
      Documentação
      Habilitar uma base de conhecimento dedicada Habilite esta opção para ativar a base de conhecimento para Resposta a incidentes de segurança.
      Habilitar documentos gerenciados Habilite esta opção para adicionar uma lista relacionada a documentos gerenciados.
      Habilitar atividades da tarefa Habilite esta opção para registrar interações e comunicações de tarefas, como chamadas telefônicas e mensagens de e-mail.
    5. Clique em Salvar.

    Bloquear administração de segurança

    Para proteger as investigações e manter os incidentes de segurança privados, você pode restringir Resposta a incidentes de segurança Acesso a funções e ACLs específicas de segurança. Administradores que não sejam de segurança podem ser restritos ao acesso, a menos que você permita expressamente a entrada deles.

    Antes de Iniciar

    . Resposta a incidentes de segurança A aplicação está ativada, o usuário Administrador do sistema recebe a função sn_si.admin por padrão. O Administrador do sistema é o único administrador que pode configurar grupos de segurança e usuários.

    Uma função de segurança é necessária para ter acesso a. Resposta a incidentes de segurança recursos e registros.

    Função necessária: sn_si.admin

    Procedimento

    1. Após Resposta a incidentes de segurança O plug-in foi ativado, um usuário com a função de administrador atribui a função de administrador com escopo (sn_si.admin) a pelo menos um usuário.
    2. O usuário com a função de administrador muda para o escopo do Incidente de segurança.
    3. Navegar até Tudo > sys_store_app.list.
    4. Tipo sn_si em Escopo campo.
      Aplicações do sistema.
    5. Clique em Resposta a incidentes de segurança .
    6. Role para baixo até Links relacionados e clique em Remover da função contida pelo administrador .
    7. Logout e login novamente.
      O usuário administrador não pode acessar o. Resposta a incidentes de segurança aplicação.

    Gerenciar acesso restrito do solicitante

    O recurso RCA (Restricted Caller Access, acesso restrito do solicitante) permite que um administrador defina o acesso entre escopos a uma aplicação ou recurso de aplicação e permita ou negue solicitações de acesso. Este recurso está habilitado em Resposta a incidentes de segurança por padrão, os analistas de segurança podem proteger informações confidenciais relacionadas à segurança.

    Um campo chamado Acesso do solicitante foi adicionado a todas as tabelas e inclusões de script em Resposta a incidentes de segurança e o campo é padronizado como Acompanhamento do solicitante . Esta configuração significa que os escopos da aplicação têm permissão de acesso a. Resposta a incidentes de segurança tabelas e inclusões de script. No entanto, um registro de acompanhamento é criado para cada registro e armazenado na tabela Privilégio de acesso de solicitante restrito [sys_restricted_caller_access].
    Nota:
    Tome cuidado ao mudar registros de Acompanhamento do solicitante . Solicitante restrito . Registros com este status não podem ser acessados até que um administrador permita o acesso a ele manualmente. O administrador deve navegar até Aplicações do sistema > Acesso de chamador restrito a aplicação, localize a tabela ou inclusão de script para a qual o acesso foi solicitado e altere Status campo de Solicitado . Permitido .

    Execute testes de início rápido para Resposta a incidentes de segurança

    Valide isso Resposta a incidentes de segurança ainda funciona depois que você faz mudanças de configuração, como aplicar um upgrade ou desenvolver uma aplicação. Copie e personalize esses testes de início rápido para aprovar ao usar seus dados específicos da instância.

    Os testes de início rápido Resposta a incidentes de segurança exigem a ativação do plug-in Resposta a incidentes de segurança (com.snc.security_incident) e o carregamento dos dados de demonstração.

    Tabela 4. Testes Resposta a incidentes de segurança
    Teste Descrição Versão de lançamento
    SIR: criar incidente de segurança Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança. Madrid
    SIR: criar incidente de segurança por meio do catálogo de incidentes de segurança Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança. Madrid
    SIR: ciclo de vida do incidente de segurança Valide as tarefas de resposta do fluxo de trabalho de violação de política. Madrid
    SIR: Teste de configuração OOTB de avaliações de PIR Use este teste para validar avaliações de PIR e configurações de sistema de base. Tokyo
    SIR: Testes de configuração condicional de avaliações de PIR

    Verifique se incidentes de segurança correspondentes à regra condicional obrigatória não são encerrados sem a conclusão da avaliação pós-incidente.

    Verifique se os incidentes de segurança correspondentes à regra condicional opcional podem ser encerrados sem a conclusão da avaliação pós-incidente.

    Verifique se as avaliações não são geradas para os incidentes de segurança que não correspondem a nenhuma regra.

    		 Tokyo
    SIR: Experiência de tempo de execução do PIR Verifique se os relatórios PIR estão configurados e anexados aos incidentes de segurança de acordo com o novo design. Tokyo
    PIR Design Time Experience Verifique se o incidente de segurança está mapeado com o modelo de relatório baseado na configuração do administrador. Tokyo
    SIR: Vincular o incidente de segurança a um importante incidente de segurança existente Vincule um Incidente de Segurança a um Incidente de Segurança Importante existente e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante. Tokyo
    SIR: promover o incidente de segurança como um incidente de segurança importante Promova um Incidente de Segurança como um Incidente de Segurança Importante e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante. Tokyo
    SIR: propor Incidente de Segurança como Incidente de Segurança Importante Proponha um Incidente de Segurança como Incidente de Segurança Importante e valide os dados de Incidente de Segurança implementados no Incidente de Segurança Importante. Tokyo
    SIR: ciclo de vida do incidente de segurança Valide um ciclo de vida de incidente de segurança com o fluxo de trabalho de tarefas de resposta à violação de política. Yokohama
    SIR: Criar caso de segurança Crie um caso de segurança no formulário Incidente de segurança. Yokohama
    Verifique se somente Membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ATIVADA Verifique se somente membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ativada. Yokohama
    Verifique se o incidente de segurança habilitado com "Impor restrição" não está visível para nenhum usuário Verifique se o incidente de segurança habilitado com "Impor restrição" não está visível para nenhum usuário. Yokohama
    Validar acesso de leitura Valide o acesso de exibição. Yokohama
    Validar acesso de gravação Valide o acesso de edição. Yokohama
    Espaço SIR: Acesso de leitura Verifique se o usuário de acesso de leitura pode exibir o incidente de segurança sem ter funções de segurança, mesmo no espaço. Yokohama
    Espaço SIR: Acesso de gravação Verifique se o usuário de acesso de gravação pode atualizar o incidente de segurança sem ter funções de segurança. Yokohama
    Espaço SIR: Criar novo incidente de segurança Crie um novo incidente de segurança a partir do espaço. Yokohama
    Espaço SIR: Criar tarefa de resposta Crie uma nova tarefa de resposta a partir de um incidente de segurança existente. Yokohama
    Now Assist para segurança: Resumo do incidente de segurança ativo Resuma um incidente de segurança ativo e valide as seções exibidas. Zurich

    Now Assist para segurança: Resumo do incidente de segurança_share para anotações de trabalho

    		 Compartilhe o resumo gerado com anotações de trabalho. Zurich
    Now Assist para segurança: Resumo de incidente de segurança encerrado Resuma um incidente de segurança encerrado e valide as seções exibidas. Zurich