Führen Sie eine fragebogenbasierte Überprüfung nach Incidents durch

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Sie können entscheiden, dass eine Überprüfung des Security Incidents nach einem Incident gerechtfertigt ist. Eine Überprüfung nach Incidents beschreibt, was passiert ist, hilft zu bestimmen, warum der Incident aufgetreten ist, und zeigt, wie er in Zukunft vermieden oder behandelt werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.manager, sn_si.analyst
    Hinweis:
    Jeder Benutzer kann unabhängig von seiner Rolle an einem Fragebogen zur Überprüfung nach Incidents teilnehmen. Rollen können einer Überprüfung zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Die Anwendung ServiceNow Security Incident Response kann die Erfassung von Informationen zur Überprüfung nach Incidents von allen an einem Security Incident beteiligten Personen mithilfe von Fragebögen automatisieren. Wenn Sie sich für die Verwendung eines Fragebogens als Teil einer Überprüfung nach einem Incident entscheiden, wird eine Liste mit Fragen, die für den Security Incident relevant sind, an die benutzerdefinierte Teilnehmerliste gesendet. Wenn jeder Benutzer den Fragebogen ausfüllt, wird automatisch der Nachfolgebericht zum Incident generiert. Der Bericht fasst alle Informationen im Zusammenhang mit dem Security Incident sowie alle Antworten auf die Überprüfung nach Incidents zusammen.

    Zwar wird mit dem Basissystem eine anfängliche Liste von Fragen bereitgestellt, diese sind jedoch anpassbar. Sie können Kategorien erstellen und ihnen neue Fragen hinzufügen oder einzelne Fragen innerhalb vorhandener Kategorien ändern. Sie können Fragen basierend auf Rollen stellen. Sie können festlegen, wann bestimmte Fragen gestellt werden. Es kann Fragen geben, die Sie beispielsweise nur für Ihre UNIX-Server oder nur bei kriminellen Aktivitäten stellen. Sie können Fragen definieren, die abhängig von der Antwort auf eine andere Frage oder dem Wert in einem Feld im Formular gestellt werden. Es kann sogar Fragen geben, die vollständig durch Abfragen der Datenbank ausgefüllt werden.

    Nachdem der Security Incident gelöst und in den Status „ Überprüfung “ versetzt wurde, werden Bewertungen für alle zugewiesenen Benutzer und Benutzer generiert, die direkt aus der Liste „Bewertungen anfordern“ hinzugefügt werden.

    Der Fragebogen kann ein hilfreiches Tool sein, um Informationen über die Behandlung des Security Incident aus verschiedenen Quellen zu sammeln.

    Während der Überprüfung können Sie der Liste weitere Benutzer hinzufügen oder vorhandene Benutzer aus der Liste entfernen, es sei denn, sie haben bereits mit dem Ausfüllen des Fragebogens begonnen. Wenn Sie der Liste neue Benutzer hinzufügen, erhalten diese die Fragen, wenn der Datensatz gespeichert wird. Der Security Incident kann erst geschlossen werden, wenn alle Fragebögen ausgefüllt wurden. Wenn Fragebögen von jedem Benutzer ausgefüllt werden, wird der Nachfolgebericht zum Incident automatisch generiert (und erneut generiert) und auf der Registerkarte „Nachprüfung nach Incident “ angezeigt.

    So starten Sie eine Überprüfung nach Incidents:

    Prozedur

    1. Erstellen Sie einen Security Incident, oder öffnen Sie einen vorhandenen, indem Sie zu navigieren Security Incident > Incidents > Mir zugewiesen (oder „Dem Team zugewiesen“ oder „Nicht zugewiesene Incidents“).
    2. Klicken Sie auf die Registerkarte Überprüfung nach Incident.
    3. Das Feld Bewertungen anfordern ist standardmäßig auf die Person im Feld Zugewiesen an festgelegt.
      Klicken Sie auf das Sperrsymbol, um weitere Benutzer zur Überprüfungsliste hinzuzufügen. Nachdem das Feld entsperrt wurde, sind Optionen zum Hinzufügen oder Entfernen mehrerer Benutzer, Rollen oder zur Eingabe von Benutzer-E-Mail-Adressen verfügbar.
    4. Wenn Sie Ihre Eingaben abgeschlossen haben, klicken Sie auf das Sperrsymbol, um das Feld zu sperren.
      Hinweis:
      Sie können auch Bedingungen definieren, die bei Erfüllung in einem Security Incident dazu führen können, dass bestimmte Benutzer automatisch dem Feld Bewertungen anfordern für diesen Security Incident hinzugefügt werden. Wenn beispielsweise die Kategorie eines Security Incident in Phishinggeändert wird, können bestimmte Personen, die über Erfahrung mit Phishing-Bedrohungen verfügen, der Überprüfungsliste nach Incident hinzugefügt werden. Weitere Informationen finden Sie unter Erstellen Sie PIR-Zuweisungsregeln.
    5. Klicken Sie auf Aktualisieren.
      Wenn der Incident in den Überprüfungsstatus versetzt wird (oder sofort, wenn er sich bereits im Überprüfungsstatus befindet), erhält jeder der Benutzer in der Überprüfungsliste eine erste E- Mail-Benachrichtigung. Erinnerungen werden gesendet, wenn das Fälligkeitsdatum näher rückt. Wenn jeder Benutzer über den E-Mail-Link oder über zu auf den Fragebogen zugreift Überprüfung nach Incident > Meine ausstehenden Überprüfungen, stammen die angezeigten Fragen aus allen Kategorien, die zu diesem Security Incident passen. Wenn der Überprüfungsliste vor Erreichen des Fälligkeitsdatums neue Benutzer hinzugefügt werden, erhalten sie beim Speichern des Security Incident Benachrichtigungen.

      Wenn Benutzer ihre Fragebögen ausfüllen, werden die Daten im Nachfolgebericht zum Incident zusammengestellt und der Bericht wird auf der Registerkarte „ Überprüfung nach Incident “ angezeigt. Die Fragebogendaten werden auf der Registerkarte „ Ergebnisse “ angezeigt.