Entenda os fluxos de trabalho e os modelos de fluxo de trabalho do Security Incident Response Orchestration

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • O sistema base Security Incident Response inclui uma série de fluxos de trabalho e modelos de fluxo de trabalho projetados para funcionar com registros de incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.basic

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode personalizar todos os fluxos de trabalho e modelos de fluxo de trabalho para melhor atender às suas necessidades, desde que tenha a função apropriada: sn_sec_cmn.admin. Fluxos de trabalho são usados em todo o sistema Security Operations para executar uma variedade de tarefas.

    Os modelos de fluxo de trabalho, no entanto, são acionados selecionando um valor no campo Categoria em um incidente de segurança. Quando isso ocorre, o modelo de fluxo de trabalho associado à seleção inicia um modelo de fluxo de trabalho que instrui os analistas de segurança a lidar com um tipo específico de ameaça.

    Por exemplo, se você selecionar Negação de serviço no campo Categoria em um incidente de segurança, o Incidente de segurança - Negação de serviço - Modelo será executado e o analista será orientado a determinar se o destino do DOS é essencial para os negócios. Em caso afirmativo, a próxima tarefa faz com que a prioridade do incidente de segurança seja definida como 1 - Críticoe, em seguida, executa a próxima tarefa. E assim por diante.

    Portanto, Security Incident Response fluxos de trabalho e modelos de fluxo de trabalho são essencialmente os mesmos, exceto que os modelos são usados para um conjunto específico de funções em um incidente de segurança.

    Procedimento

    1. Navegar até Todos > Security Operations > Workflows > Exibir Fluxos de Trabalho de Segurança.
    2. Uma lista dos fluxos de trabalho e modelos de fluxo de trabalho enviados no sistema de base é exibida.
      Todos os novos fluxos de trabalho que você criou no pacote de aplicações Security Operations também são incluídos na lista.
    3. Clique no nome do fluxo de trabalho ou do modelo de fluxo de trabalho que você deseja exibir.
      Nota:
      Os fluxos de trabalho podem ser acionados de várias maneiras diferentes. Esteja ciente de que associar um fluxo de trabalho a um gatilho de fluxo de trabalho não significa necessariamente que o fluxo de trabalho está ativo.