Verwalten Sie Sicherheitsbedrohungen mit Security Analyst Workspace

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Security Incident Response enthält eine neue Benutzeroberfläche mit der Bezeichnung Security Analyst Workspace, die leistungsstarke Tools zur Unterstützung der Analyse enthält, darunter das Playbook, die Vorschauansicht und Registerkarten für die Bearbeitung mehrerer Security Incidents.

    Die leistungsstarken Tools in Security Analyst Workspace wurden speziell für Sicherheitsanalysten entwickelt und ermöglichen die Analyse des ständig wachsenden Datenvolumens im Zusammenhang mit Security Incidents. Und automatisierte Aktionen reduzieren die Untersuchungszeit für Security Incidents erheblich, was den Unterschied zwischen dem Stoppen eines Angriffs und einem Verstoß ausmachen kann.

    Vor der Verwendung von Security Analyst Workspace

    Bevor Sie Security Analyst Workspaceverwenden können, müssen Sie sicherstellen, dass in Ihrer Instanz mindestens London Patch 3 installiert ist und Sie die richtigen Rollen definiert haben hat die Anwendung Security Incident Response UI aus dem heruntergeladen ServiceNow Store.
    Hinweis:
    Wenn Ihre Instanz eine Version vor London Patch 3 ausführt, müssen Sie das Security Incident Response UI-Plugin über das HI Customer Service-System anfordern.

    Auf Security Analyst Workspace zugreifen

    Um auf diesen neuen Arbeitsbereich zuzugreifen, navigieren Sie zu Security Incident > Incidents (neue UI).

    Abbildung : 1. Security Incident
    Security Incident-Navigationsleiste

    Der Arbeitsbereich wird in einer separaten Browserregisterkarte geöffnet.

    Abbildung : 2. Security Incidents
    Alle offenen Security Incidents

    Suchen Sie die Security Incidents, die Sie mit Schnellfiltern analysieren möchten

    Security Analyst Workspace bietet mehrere Tools zum Filtern der Liste der Security Incidents, sodass Sie die Security Incidents, die Sie analysieren möchten, schnell finden können. Mit den Schnellfiltern können Sie eine Teilmenge der Security Incidents basierend auf den Kriterien im Filter auswählen.
    Abbildung : 3. Schnellfilter
    Schnellfilter

    Klicken Sie einfach auf den Schnellfilter, den Sie verwenden möchten.

    Hinweis:
    Sie können auf eine Schaltfläche Bearbeiten klicken, um anzugeben, welche Schnellfilter auf dem Listenbildschirm angezeigt werden sollen. Es muss mindestens ein Filter ausgewählt werden, maximal sechs.

    Sie können zusätzliche Schnellfilter sowie primäre Filter für Security Analyst Workspacein der klassischen Umgebung definieren. Weitere Informationen finden Sie unter Richten Sie primäre und sekundäre Filter für ein Security Analyst Workspace.

    Personalisieren Sie die Security Incident-Liste

    Wie bei allen Listen in Ihrer Instanz bietet Security Analyst Workspace Tools zum Personalisieren der Liste und zum Sortieren der angezeigten Informationen, um Ihre Analyseanforderungen zu erfüllen.
    Abbildung : 4. Personalisieren Sie die Security Incident-Liste
    Filteroptionen für die Security Incident-Liste

    Sparen Sie Zeit mit der Vorschau

    Bevor Sie einen Security Incident-Datensatz öffnen, können Sie in der Vorschauansicht Zeit sparen. Mit dieser Funktion können Sie wichtige Sicherheitsartefakte schnell finden, ohne die gesamte Seite neu laden zu müssen. Klicken Sie einfach auf das Symbol > links neben einer Security Incident-Nummer, um einen Überblick zu erhalten.

    Abbildung : 5. Vorschau
    Security Incident mit Vorschauansicht
    Die Vorschauansicht bietet einen Snapshot wichtiger Informationen in einer einzigen Ansicht. Diese Ansicht kann wertvolle Zeit sparen, wenn Sie mit mehreren Incidents arbeiten. Sie können auf die Abwärtspfeile in bestimmten Feldern klicken, um On-the-fly-Aktualisierungen vorzunehmen, z. B. die Zuweisung einer Zuweisungsgruppe oder eines bestimmten Analysten.
    Abbildung : 6. Details der Vorschau anzeigen
    Vorschaudetails

    Schnellaktionen für einen Security Incident ausführen

    Nachdem Sie einen bestimmten Security Incident ausgewählt und geöffnet haben, können Sie zeitsparende Aktionen für den Datensatz ausführen.
    • Wenn der Security Incident geöffnet ist, klicken Sie auf das Symbol Datensatz bearbeiten, um schnell Änderungen an einem der zugehörigen Felder vorzunehmen. Wenn der Datensatz geschlossen ist, können Sie nur sein Tag ändern.
    • Klicken Sie auf Anhänge verwalten, um Dateien an den Security Incident anzuhängen. Sie können angehängte Dateien auch herunterladen oder entfernen und die auf die Anhänge angewendete Verschlüsselung bearbeiten.
    • Klicken Sie auf E-Mail erstellen, um eine schnelle E-Mail an einen Kollegen zu senden. E-Mails können Freiform sein, oder Sie können vordefinierte E-Mails senden, die aus einer Liste von Vorlagen ausgewählt werden. Gesendete E-Mails und empfangene Antworten werden in der Incident-Zeitleiste erfasst.
      Hinweis:
      Sie können benutzerdefinierte Vorlagen erstellen, die wiederverwendbare Inhalte für E-Mails und E-Mail-Benachrichtigungen enthalten. Variablen können zum Einfügen von Informationen verwendet werden, die für den Security Incident oder die Warnung spezifisch sind, z. B. Betreffzeile, Priorität oder Bedrohungskategorie. Verwenden Sie die Tabelle „Security Incident“ [sn_si_incident] für E-Mails und E-Mail-Benachrichtigungen im Zusammenhang mit Security Incident Response. Weitere Informationen finden Sie unter E-Mail-Vorlagen
    • Klicken Sie auf Mehr, um einen schnellen Snapshot des Security Incident anzuzeigen, z. B. Beschreibung, Geschäftsauswirkung und Priorität. Sie können auch auf den Abwärtspfeil in den Feldern Zuweisungsgruppe und Zugewiesen an klicken, um Änderungen an diesen Feldern vorzunehmen.
    Abbildung : 7. Zuweisungsgruppe
    Schnellaktionen

    Arbeiten Sie mit mehreren Security Incidents

    Über die mit Registerkarten versehene Benutzeroberfläche können Sie mehrere Security Incidents gleichzeitig geöffnet lassen, sodass Sie mit einem einzigen Klick zwischen ihnen wechseln können. Dies kann Zeit sparen und ermöglicht es Ihnen, das Gesamtbild zu sehen, wenn Bedrohungen aus mehreren Quellen erkannt werden.
    Abbildung : 8. Arbeiten Sie mit mehreren Security Incidents
    Registerkartenschnittstelle für Security Incidents

    Zeigen Sie Analyseinformationen auf den Registerkarten für Security Incidents an

    Wenn Sie einen Security Incident-Datensatz öffnen, werden drei Registerkarten angezeigt:
    • Übersicht
    • Erkunden
    • Incident-Zeitleiste

    Registerkarte „Übersicht“

    Verwenden Sie die Registerkarte Übersicht, um Informationen zu einem Security Incident an einem einzigen Ort anzuzeigen. Sie müssen keine andere Anwendung oder Konsole öffnen.
    Abbildung : 9. Übersicht
    Registerkarte „Übersicht“.
    Die Kacheln, die auf der Registerkarte Übersicht angezeigt werden, sind anpassbar. Sie können sie nach Bedarf reduzieren und erweitern, und Sie können sie verschieben, indem Sie das Griffsymbol ziehen. Klicken Sie auf das Symbol Weitere Optionen, um eine Kachel zu löschen oder ihren Überschriftentext zu ändern.
    Abbildung : 10. Registerkarte „Übersicht“
    Umgehung der Registerkarte „Übersicht“.

    Registerkarte „Untersuchen“.

    Konfigurieren Sie die auf der Registerkarte Übersicht angezeigten Kacheln mithilfe der Registerkarte Erkunden. Wählen Sie einfach im linken Bereich die Kacheln aus, die Sie anzeigen möchten, und klicken Sie auf das Symbol „Anheften“. Angeheftete Kacheln werden automatisch auf der Registerkarte Übersicht angezeigt.
    Abbildung : 11. Registerkarte „Exportieren“.
    An Übersicht anheften
    Der linke Bereich der Registerkarte „Durchsuchen“ enthält eine Vielzahl von Informationen, die Sie auf der Registerkarte „ Übersicht “ anzeigen können. Erweitern Sie beispielsweise Erkennbare Elemente, um diese zugehörigen Listen anzuzeigen.
    • Erkennbare Elemente
    • Suche nach Bedrohungen – Ergebnisse
    • Ergebnisse des Sicherheitsscans
    • Domänensuchen
    • Anreicherung erkennbarer Elemente

    Zusätzliche zugehörige Listen sind unter Benutzer, Konfigurationselementeund Incidentsverfügbar.

    Registerkarte „Incident-Zeitleiste“.

    Verwenden Sie die Registerkarte Incident-Zeitleiste während Ihrer Untersuchung zu Nachverfolgungszwecken. Jede Aktion, die für einen Security Incident ausgeführt wird, wird vom System in der Incident-Zeitleiste aufgezeichnet.
    • Sie können Arbeitsnotizen auch manuell zur Zeitleiste hinzufügen, indem Sie sie in das Feld Arbeitsnotizen hinzufügen eingeben und auf Veröffentlichen klicken.
    • Sie können mithilfe des Suchfelds nach einer bestimmten Zeitleistenaktivität suchen.
    • Mit dem Symbol „ Aktivität filtern“ können Sie nur die Arten von Zeitleistenaktivitäten anzeigen, die Sie anzeigen möchten (z. B. nur Incidents, die von einem bestimmten Analysten erstellt wurden).
    • Sie können die Incident-Zeitleiste mithilfe des Symbols „Anheften/Lösen“ auf der Registerkarte „ Übersicht “ hinzufügen oder entfernen.
    Abbildung : 12. Registerkarte „Incident-Zeitleiste“.
    Incident-Zeitleiste

    Behandeln Sie Security Incidents mit dem Playbook

    Beheben Sie bestimmte Arten von Sicherheitsbedrohungen Schritt für Schritt mit den integrierten Security Analyst Playbooks. Beispielsweise kann ein Analyst das Playbook verwenden, um Phishing-Angriffe und Bedrohungen zu beheben, die durch Aktivitäten mit böswilligem Code verursacht werden. Weitere Informationen finden Sie unter Beheben Sie Sicherheitsbedrohungen mit dem Playbook.