Playbook für die Automatisierung von untergeordneten Security Incidents
Doppelte Security Incidents werden als untergeordnete Security Incidents kategorisiert und zu den übergeordneten Security Incidents zusammengefasst.
Mit dem Playbook zur Automatisierung von untergeordneten Security Incidents können Sie die Zeit zum Untersuchen und Schließen doppelter Security Incidents reduzieren. Dieses Playbook führt automatisch ein Rollup für bestimmte eindeutige Artefakte des untergeordneten Security Incidents (erkennbare Elemente, betroffene Benutzer, CIs) für den übergeordneten Security Incident durch.
Voraussetzungen
- sn_si.admin
- flow_designer
Spoke: Security Operations-Spoke installieren (sn_sec_spoke)
Wichtige Funktionen
Das Playbook „Automatisierung untergeordneter Elemente“ deckt die folgenden Funktionen ab:
- Verschiebt den Security Incident in die Analysephase.
- Er beseitigt Duplikate und fügt die betroffenen Benutzer und CIs dem übergeordneten Security Incident hinzu (Rollup).
- Fügt dem übergeordneten Security Incident erkennbare Elemente aus dem untergeordneten Incident hinzu.
- Schließt den untergeordneten Security Incident oder bricht ihn ab, wenn der übergeordnete Security Incident geschlossen wird.
Erforderliche Fähigkeiten
Weitere Informationen finden Sie im ServiceNow Store.
Erfahrung als Sicherheitsanalyst
Anweisungen zur schrittweisen Lösung von Sicherheitsbedrohungen finden Sie unter Beheben Sie Sicherheitsbedrohungen mit dem Playbook.
Vertieftes Verständnis des Playbooks „Automatisierung von untergeordneten Security Incidents“ mit Flow Designer-Fähigkeiten
- Melden Sie sich als -Benutzer mit den Rollen sn_si.user und flow_designer an.
- Navigieren zu und klicken Sie auf das Playbook Fehlgeschlagene Anmeldung.
- Erstellen Sie eine Kopie des Playbooks „Automatisierung von untergeordneten Security Incidents“, und nehmen Sie die erforderlichen Änderungen vor. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen am Flow vorzunehmen.
- Nehmen Sie die erforderlichen Änderungen entsprechend Ihrer Anforderung vor. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen am Flow vorzunehmen.
- Aktivieren Sie das Playbook.
- Aktivieren Sie den Haupt-Flow, um das mit dem Basissystem verfügbare Playbook zu verwenden.
- Aktivieren Sie den kopierten Flow, nachdem Sie Änderungen entsprechend Ihren Anforderungen vorgenommen haben.
- Das Feld „Übergeordneter Security Incident“ ist nicht leer.
- Der übergeordnete Security Incident befindet sich im Status Entwurf, Analyse, Eindämmen oder Löschen.
Die folgenden Schritte führen Sie durch die Aktionen und Aufgaben, die im Playbook zur Automatisierung von untergeordneten Security Incidents verfügbar sind.
- Wenn die Ausführung des Playbooks in Schritt 1 gestartet wird und der Security Incident sich im Status Entwurf befindet, wird er aktualisiert und in den Status Analyse versetzt.
- In den Schritten 2 und 3 werden die betroffenen Anwender für den Security Incident abgerufen und im übergeordneten Security Incident zusammengefasst. Doppelte Benutzer werden eliminiert.
- In den Schritten 4 und 5 werden die dem untergeordneten Security Incident zugeordneten Konfigurationselemente abgerufen, und für eindeutige CIs wird ein Rollup für den übergeordneten Security Incident durchgeführt.
- In den Schritten 6 und 7 werden die dem untergeordneten Security Incident zugeordneten erkennbaren Elemente abgerufen, und für eindeutige erkennbare Elemente wird ein Rollup zum übergeordneten Security Incident durchgeführt.
- In den Schritten 8 und 9 werden automatisierte Arbeitsnotizen in den übergeordneten und untergeordneten Security Incidents veröffentlicht, die angeben, dass für die betroffenen Anwender, Konfigurationselemente und erkennbaren Elemente ein Rollup vom untergeordneten zum übergeordneten Security Incident durchgeführt wurde.