Management schwerwiegender Sicherheits-Incidents – Administration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Planen und konfigurieren Sie Ihre Management schwerwiegender Sicherheits-Incidents-Implementierung.

    Sie können die folgenden Aspekte der Management schwerwiegender Sicherheits-Incidents -Administration konfigurieren:

    Ermöglichen Sie die Empfehlung, Heraufstufung und Verknüpfung von schwerwiegenden Security Incidents

    Ermöglichen Sie Anwendern, zu entscheiden, ob Incidents als schwerwiegende Security Incidents vorgeschlagen oder hochgestuft werden sollen. Verfolgen Sie ganz einfach alle Incidents im Zusammenhang mit einem schwerwiegenden Security Incident, indem Sie die Verknüpfung von Security Incidents mit dem übergeordneten oder untergeordneten Incident aktivieren.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Ermöglichen Sie Anwendern, einen Security Incident für einen schwerwiegenden Security Incident vorzuschlagen, indem Sie das Kontrollkästchen Schwerwiegenden Security Incident vorschlagen im Abschnitt „Aktionen des SIR- /VR-Arbeitsbereichs“ aktivieren.
    3. Ermöglichen Sie Anwendern, einen Security Incident zu einem schwerwiegenden Security Incident heraufzustufen, indem Sie das Kontrollkästchen Zu schwerwiegendem Security Incident heraufstufen aktivieren.
    4. Aktivieren Sie die Verknüpfung eines Security Incident mit einem schwerwiegenden Security Incident, damit beide gemeinsam nachverfolgt werden können, indem Sie das Kontrollkästchen Mit schwerwiegendem Security Incident verknüpfen aktivieren.
    5. Wählen Sie Aktualisieren.

    Markieren Sie Security Incidents als schwerwiegende Security Incidents

    Markieren Sie Security Incidents oder angreifbare Datensätze mit einem Tag oder kennzeichnen Sie sie als schwerwiegenden Security Incident, wenn der Incident vorgeschlagen oder heraufgestuft wird. Wenn ein Security Incident vorgeschlagen wird, wird der Incident-Datensatz als Kandidat für schwerwiegenden Security Incident bezeichnet. Wenn ein Wertpapier heraufgestuft wird, wird der Incident-Datensatz als schwerwiegender Security Incident mit dem Status „Akzeptiert“ bezeichnet.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Aktivieren Sie das Kontrollkästchen Bezeichnungen anzeigen, um den vorgeschlagenen Incident-Kandidaten als schwerwiegenden Security Incident zu kennzeichnen, indem Sie das Suchfeld Bezeichnungsname – Als Kandidat vorschlagen auswählen und im Abschnitt „Bezeichnungen des SIR/VR-Arbeitsbereichs “ die Option Kandidat für schwerwiegenden Security Incident auswählen.
    3. Aktivieren Sie das Kontrollkästchen Bezeichnungen anzeigen, um den heraufgestuften Incident-Kandidaten als schwerwiegenden Security Incident zu kennzeichnen, indem Sie das Suchfeld Bezeichnungsname – Heraufstufung zu schwerwiegendem Security Incident auswählen und im Abschnitt „Bezeichnungen des SIR/VR-Arbeitsbereichs “ die Option Schwerwiegender Security Incident auswählen.
    4. Wählen Sie Aktualisieren.

    Bezeichnungen für schwerwiegende Security Incidents konfigurieren

    Konfigurieren Sie Bezeichnungen in der Verwaltung schwerwiegender Security Incidents, um anwenderdefinierte Bezeichnungen zu erstellen und die externen Zusammenarbeitsaktivitäten und -aufgaben im Aktivitätenstrom zu filtern. Die verschiedenen Arten von implementierten Bezeichnungen sind Statusbezeichnungen und Zeitleistenbezeichnungen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Kontrollkästchen „Bezeichnungen anzeigen “ aktivieren, um die Beschriftung verschiedener Incident-Status wie Analyse, Eindämmen, Löschen, Wiederherstellen, Überprüfen, Zeitleistenereignis im Abschnitt „Bezeichnungen“ des MSIM-Arbeitsbereichs (Anzeige bei Zusammenarbeitsaktivitäten und -aufgaben) zu aktivieren.
    3. Wählen Sie Aktualisieren.

    Bezeichnungen für schwerwiegende Security Incidents konfigurieren

    Konfigurieren Sie verschiedene Arten von Bezeichnungen, um die Incident-Status besser zu filtern und auch anzugeben. Bezeichnungen schwerwiegender Security Incidents bieten die Flexibilität, die Zusammenarbeitsaktivitäten und -aufgaben der Incident-Datensätze zu kennzeichnen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Sie können die Bezeichnungen mithilfe des Bezeichnungssymbols aktivieren oder deaktivieren, das im Abschnitt „Aktivitätenstrom“ des Abschnitts „Zusammenarbeit und Aufgabenorganisator“ des MSIM-Arbeitsbereichs verfügbar ist.

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > MSI-Bezeichnungenan.
    2. Klicken Sie auf Neu, um eine neue Bezeichnung zu erstellen.
    3. Füllen Sie das Formular mit Bezeichnungsnameund Bezeichnungsfarbe aus.
    4. Klicken Sie auf Bezeichnung erstellen.
    5. Als Teil des Basissystems sind für jeden Incident-Status folgende Bezeichnungen konfiguriert. Sie können den Bezeichnungsnamen oder die Farbe nicht ändern:
      • Analyse
      • Beinhalten
      • Beseitigen
      • Prüfen
      • Wiederherstellen
      • Zeitleistenereignis
      Hinweis:
      Sie können die anwenderdefinierten Bezeichnungen und ihre Eigenschaften ändern.

    Konfigurieren Sie Zeitleistenkategorien für schwerwiegende Security Incidents

    Konfigurieren Sie Zeitleistenkategorien wie Bedrohung, Antwort oder Anwenderdefiniert, und weisen Sie sie Ihren schwerwiegenden Security Incidents im Abschnitt „Zeitleiste“ auf der Registerkarte Übersicht zu.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Zeitleistenkategorienan.
      Die folgenden Zeitleistenkategorien werden als Teil des Basissystems bereitgestellt:
      • Anwenderdefiniert.
      • Antwort.
      • Bedrohung.
    2. Um eine vorhandene Zeitleisten-Ereigniskategorie zu ändern, gehen Sie wie folgt vor:
      1. Wählen Sie eine Zeitleisten-Ereigniskategorie aus der Liste aus.
      2. Sie können den Namen der Ereigniskategorie der Zeitleiste ändern.
      3. Sie können die Ereignisfarbe ändern und eine andere Farbe für die Kategorie des Zeitleisten-Ereignisses auswählen.
      4. Wählen Sie Aktualisieren.
    3. Um eine neue Ereigniskategorie auf der Zeitleiste zu erstellen, gehen Sie wie folgt vor:
      1. Wählen Sie Neu.
      2. Geben Sie im Feld Name einen Namen für die Ereigniskategorie der Zeitleiste ein.
      3. Wählen Sie im Feld Ereignisfarbe mithilfe der Dropdown-Liste eine Farbe für die Kategorie der Ereigniszeitleiste aus.
      4. Wählen Sie Absenden.

    Legen Sie Benachrichtigungseinstellungen für fest MSIM

    Automatisieren Sie den E-Mail-Benachrichtigungsprozess und benachrichtigen Sie die Anwender, wenn ein Security Incident entweder vorgeschlagen oder zu einem Kandidaten für schwerwiegenden Security Incident hochgestuft wird.

    Erforderliche Rolle: sn_msi.workspace_admin.

    Die Benachrichtigungen werden nur ausgelöst, wenn ein Security Incident vorgeschlagen und an alle Benutzer und Gruppen gesendet wird, die für die Benachrichtigungsliste konfiguriert sind. Standardmäßig erhält der Benutzer die E-Mail-Benachrichtigung, der den Security Incident als Kandidaten für einen schwerwiegenden Security Incident vorgeschlagen hat.

    Benachrichtigung: Security Incident vorgeschlagen (SI) als schwerwiegender Security Incident (MSI)

    Empfänger:

    • Standardmäßig MSI-Prüfer Gruppenname wird erstellt, und jeder Anwender, der dieser Gruppe hinzugefügt wird, erhält das Recht, ein zu sein MSIM-Manager und die Benutzer in dieser Gruppe erhalten die Benachrichtigungs-E-Mails.
    • Jeder bestimmte Benutzer, der hinzugefügt wird Anwender Liste erhält auch die Benachrichtigungs-E-Mails.

    Inhalt:

    Wenn Sie den E-Mail-Inhalt ändern möchten, z. B. den Textkörper der E-Mail, der den Betreff oder den Nachrichten-HTML enthält, müssen Sie über Systemadministratorrollenzugriff verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI wurde MSI vorgeschlagen
    Benachrichtigung: Security Incident heraufgestuft (SI) als schwerwiegender Security Incident (MSI)

    Diese Benachrichtigung wird ausgelöst, wenn ein Security Incident hochgestuft wird und wenn der Datei-Explorer und die Basisstruktur Microsoft Teams erstellt werden. Standardmäßig wird diese Benachrichtigung von dem Benutzer empfangen, der den Security Incident zu einem schwerwiegenden Incident hochgestuft hat.

    Empfänger

    • Standardmäßig a Gruppe nach Namen MSI-Responder wird erstellt, und jeder Anwender, der dieser Gruppe hinzugefügt wird, hat die Berechtigung MSIM-Responder Rolle und alle Benutzer in dieser Gruppe erhalten die Benachrichtigungs-E-Mail.
    • Jeder bestimmte Benutzer, der hinzugefügt wird Anwender Liste erhält auch die Benachrichtigungs-E-Mails.
    Was enthalten sein wird

    Wenn Sie E-Mail-Inhalte wie den E-Mail-Text ändern möchten, der den Betreff oder Nachrichten-HTML enthält, müssen Sie über die Systemadministratorrolle verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI zu MSI heraufgestuft

    Konfigurieren Sie MSI-Abschlussaktivitäten

    Richten Sie Aktionen ein, die automatisch ausgeführt werden, wenn ein schwerwiegender Security Incident geschlossen wird. Erhöhen Sie die Sicherheit, indem Sie den Zugriff auf Ordner mit Lösungsinformationen automatisch archivieren und entfernen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationenan.
    2. Archivieren Sie Chatkommunikation im Zusammenhang mit der Lösung des Incidents, indem Sie das Kontrollkästchen Zusammenarbeitskanäle archivieren im Abschnitt Automatisierte Abschlussaktionen aktivieren.
    3. Entfernen Sie Ordner, die Material im Zusammenhang mit der Lösung des Incidents enthalten, indem Sie das Kontrollkästchen Zusammenarbeitsordner entfernen aktivieren.
    4. Wählen Sie Aktualisieren.