Verwalten Sie Sicherheitsbedrohungen mit Security Analyst Workspace

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Security Incident Response enthält eine neue Anwenderoberfläche namens Security Analyst Workspace, die leistungsstarke Tools zur Unterstützung bei der Analyse enthält, darunter das Playbook, eine Vorschauansicht und Registerkarten für die Bearbeitung mehrerer Security Incidents.

    Die leistungsstarken Tools in Security Analyst Workspace wurden speziell für Sicherheitsanalysten entwickelt und ermöglichen es Ihnen, das ständig größer werdende Datenvolumen im Zusammenhang mit Security Incidents zu analysieren. Automatisierte Aktionen reduzieren die Zeit für die Untersuchung von Security Incidents erheblich, was den Unterschied zwischen dem Stoppen eines Angriffs und dem Auftreten eines Verstoßes ausmachen kann.

    Vor der Verwendung von Security Analyst Workspace

    Bevor Sie Security Analyst Workspaceverwenden können, müssen Sie sicherstellen, dass auf Ihrer Instanz mindestens London Patch 3 installiert ist und Sie die richtigen Rollen definiert haben hat die Anwendung Security Incident Response UI aus dem heruntergeladen ServiceNow Storean.
    Hinweis:
    Wenn auf Ihrer Instanz eine Version vor London Patch 3 ausgeführt wird, müssen Sie das Plugin „Security Incident Response UI“ über den HI-Kundenservice anfordern.

    Auf Security Analyst Workspace zugreifen

    Um auf diesen neuen Arbeitsbereich zuzugreifen, navigieren Sie zu Security Incident > Incidents (neue UI)an.

    Abbildung : 1. Security Incident
    Navigationsleiste für Security Incidents

    Der -Arbeitsbereich wird in einer separaten Browser-Registerkarte geöffnet.

    Abbildung : 2. Security Incidents
    Alle offenen Security Incidents

    Suchen Sie die Security Incidents, die Sie mit Schnellfiltern analysieren möchten

    Security Analyst Workspace bietet mehrere Tools zum Filtern der Liste der Security Incidents, sodass Sie die zu analysierenden Security Incidents schnell finden können. Mit den Schnellfiltern können Sie eine Teilmenge der Security Incidents basierend auf den Kriterien im Filter auswählen.
    Abbildung : 3. Schnell-Filter
    Schnell-Filter

    Klicken Sie einfach auf den Schnellfilter, den Sie verwenden möchten.

    Hinweis:
    Sie können auf eine Bearbeiten -Schaltfläche klicken, um anzugeben, welche Schnellfilter auf dem Listenbildschirm angezeigt werden sollen. Es muss mindestens ein Filter ausgewählt werden, maximal sechs.

    In der klassischen Umgebung können Sie zusätzliche Schnellfilter sowie primäre Filter für Security Analyst Workspacedefinieren. Weitere Informationen finden Sie unter Richten Sie primäre und sekundäre Filter für ein Security Analyst Workspace.

    Personalisieren Sie die Liste der Security Incidents

    Wie bei allen Listen in Ihrer Instanz bietet Security Analyst Workspace Tools zum Personalisieren der Liste und zum Sortieren der angezeigten Informationen entsprechend Ihren Analyseanforderungen.
    Abbildung : 4. Personalisieren Sie die Liste der Security Incidents
    Filteroptionen für die Security Incident-Liste

    Sparen Sie Zeit mit der Vorschauansicht

    Bevor Sie einen Security Incident-Datensatz öffnen, können Sie mithilfe der Vorschauansicht Zeit sparen. Mit dieser Funktion können Sie wichtige Sicherheitsartefakte schnell finden, ohne die gesamte Seite neu laden zu müssen. Klicken Sie einfach links neben der Nummer eines Security Incidents auf das Symbol >, um einen Blick darauf zu werfen.

    Abbildung : 5. Vorschauansicht
    Security Incident mit Vorschauansicht
    Die Vorschauansicht bietet einen Snapshot wichtiger Informationen in einer einzigen Ansicht. Diese Ansicht kann wertvolle Zeit sparen, wenn Sie mit mehreren Incidents arbeiten. Sie können auf die Abwärtspfeile bestimmter Felder klicken, um On-the-fly-Aktualisierungen vorzunehmen, z. B. die Zuweisung einer Zuweisungsgruppe oder eines bestimmten Analysten.
    Abbildung : 6. Details der Vorschauansicht
    Vorschaudetails

    Führen Sie Schnellaktionen für einen Security Incident aus

    Nachdem Sie einen bestimmten Security Incident ausgewählt und geöffnet haben, können Sie für den Datensatz zeitsparende Aktionen ausführen.
    • Wenn Ihr Security Incident geöffnet ist, klicken Sie auf das Symbol „ Datensatz bearbeiten “, um schnelle Änderungen an einem der zugehörigen Felder vorzunehmen. Wenn der Datensatz geschlossen ist, können Sie nur sein Tag ändern.
    • Klicken Sie auf Anhänge verwalten, um Dateien an den Security Incident anzuhängen. Sie können auch angehängte Dateien herunterladen oder entfernen und die auf die Anhänge angewendete Verschlüsselung bearbeiten.
    • Klicken Sie auf E-Mail erstellen, um eine schnelle E-Mail an einen Kollegen zu senden. E-Mails können Freiform-E-Mails sein, oder Sie können vordefinierte E-Mails senden, die aus einer Liste von Vorlagen ausgewählt wurden. Gesendete E-Mails und empfangene Antworten werden in der Incident-Zeitleiste erfasst.
      Hinweis:
      Sie können anwenderdefinierte Vorlagen erstellen, die wiederverwendbare Inhalte für E-Mails und E-Mail-Benachrichtigungen enthalten. Variablen können zum Einfügen spezifischer Informationen für einen Security Incident oder eine Warnung verwendet werden, z. B. Betreffzeile, Priorität oder Bedrohungskategorie. Verwenden Sie die Tabelle „Security Incident“ [sn_si_incident] für E-Mails und E-Mail-Benachrichtigungen im Zusammenhang mit Security Incident Response. Weitere Informationen finden Sie unter E-Mail-Vorlagen
    • Klicken Sie auf Mehr, um einen schnellen Snapshot des Security Incident anzuzeigen, z. B. Beschreibung, Geschäftsauswirkung und Priorität. Sie können auch auf den Abwärtspfeil in den Feldern Zuweisungsgruppe und Zugewiesen an klicken, um in Echtzeit Änderungen an diesen Feldern vorzunehmen.
    Abbildung : 7. Zuweisungsgruppe
    Schnellaktionen

    Mit mehreren Security Incidents arbeiten

    Über die Registerkarten der Oberfläche können Sie mehrere Security Incidents gleichzeitig geöffnet lassen, sodass Sie mit einem einzigen Klick zwischen ihnen wechseln können. Dies kann Zeit sparen und ermöglicht es Ihnen, das Gesamtbild zu erkennen, wenn Bedrohungen aus mehreren Quellen identifiziert werden.
    Abbildung : 8. Mit mehreren Security Incidents arbeiten
    Security Incident – Schnittstelle mit Registerkarten

    Zeigen Sie Analyseinformationen auf den Registerkarten für Security Incidents an

    Wenn Sie einen Security Incident-Datensatz öffnen, werden drei Registerkarten angezeigt:
    • Übersicht
    • Untersuchen
    • Incident-Zeitleiste

    Registerkarte „Übersicht“

    Verwenden Sie die Registerkarte Übersicht, um Informationen zu einem Security Incident an zentraler Stelle anzuzeigen. Sie müssen keine andere Anwendung oder Konsole öffnen.
    Abbildung : 9. Übersicht
    Registerkarte „Übersicht“.
    Die Kacheln, die auf der Registerkarte Übersicht angezeigt werden, können angepasst werden. Sie können sie nach Bedarf reduzieren und erweitern, und Sie können sie verschieben, indem Sie das Greifsymbol ziehen. Klicken Sie auf das Symbol „ Weitere Optionen “, um eine Kachel zu löschen oder ihren Überschriftentext zu ändern.
    Abbildung : 10. Registerkarte „Übersicht“
    Navigation auf der Registerkarte „Übersicht“.

    Registerkarte Erkunden

    Konfigurieren Sie die auf der Registerkarte Übersicht angezeigten Kacheln auf der Registerkarte Erkunden. Wählen Sie einfach die Kacheln, die Sie anzeigen möchten, im linken Bereich aus, und klicken Sie auf das Symbol „Anheften“. Angeheftete Kacheln werden automatisch auf der Registerkarte Übersicht angezeigt.
    Abbildung : 11. Registerkarte „Exploren“.
    An Übersicht anheften
    Der linke Bereich der Registerkarte „ Erkunden “ enthält eine Vielzahl von Informationen, die Sie auf der Registerkarte „ Übersicht “ anzeigen können. Erweitern Sie beispielsweise Erkennbare Elemente, um diese zugehörigen Listen anzuzeigen.
    • Erkennbare Elemente
    • Ergebnisse der Bedrohungssuche
    • Ergebnisse des Sicherheitsscans
    • Domänensuchen
    • Ergänzung erkennbarer Elemente

    Zusätzliche zugehörige Listen sind unter Benutzer, Konfigurationselementeund Incidentsverfügbar.

    Registerkarte Incident-Zeitleiste

    Verwenden Sie die Registerkarte Incident-Zeitleiste während Ihrer Untersuchung zu Nachverfolgungszwecken. Jedes Mal, wenn eine Aktion für einen Security Incident ausgeführt wird, zeichnet das System dies in der Incident-Zeitleiste auf.
    • Sie können der Zeitleiste Arbeitsnotizen auch manuell hinzufügen, indem Sie sie in das Feld Arbeitsnotizen hinzufügen eingeben und auf Veröffentlichen klicken.
    • Sie können mithilfe des Suchfelds auch nach einer bestimmten Zeitleistenaktivität suchen.
    • Über das Symbol „ Aktivität filtern“ können Sie nur die Arten von Zeitleistenaktivitäten anzeigen, die Sie sehen möchten (z. B. nur Incidents, die von einem bestimmten Analysten erstellt wurden).
    • Sie können die Incident-Zeitleiste zur Registerkarte Übersicht hinzufügen oder entfernen, indem Sie auf das Symbol Anheften/Löschen klicken.
    Abbildung : 12. Registerkarte Incident-Zeitleiste
    Incident-Zeitleiste

    Behandeln Sie Security Incidents mit dem Playbook

    Beheben Sie bestimmte Arten von Sicherheitsbedrohungen schrittweise mit den integrierten Playbooks für Sicherheitsanalysten. Beispielsweise kann ein -Analyst das Playbook verwenden, um Phishing-Angriffe und Bedrohungen zu beheben, die durch Aktivitäten mit böswilligem Code verursacht werden. Weitere Informationen finden Sie unter Beheben Sie Sicherheitsbedrohungen mit dem Playbook.