Führen Sie eine fragebogenbasierte Überprüfung nach Incident durch

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Sie können entscheiden, dass eine Überprüfung des Security Incident nach dem Incident gerechtfertigt ist. Eine Überprüfung nach Incident beschreibt, was passiert ist, hilft bei der Bestimmung, warum der Incident aufgetreten ist, und identifiziert, wie er in Zukunft vermieden oder behandelt werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.manager, sn_si.analyst
    Hinweis:
    Jeder Benutzer kann unabhängig von seiner Rolle an einem Fragebogen zur Überprüfung nach Incident teilnehmen. Einer Überprüfung können Rollen zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Die Anwendung ServiceNow Security Incident Response kann die Erfassung von Informationen zur Überprüfung nach Incident von allen Personen automatisieren, die an einem Security Incident beteiligt sind, indem Fragebogen verwendet werden. Wenn Sie sich für die Verwendung eines Fragebogens als Teil einer Überprüfung nach Incident entscheiden, wird eine Liste mit Fragen, die für den Security Incident relevant sind, an die anwenderdefinierte Teilnehmerliste gesendet. Wenn ein Benutzer den Fragebogen ausfüllt, wird automatisch ein Nachfolgebericht zum Incident generiert. Der Bericht fasst alle Informationen im Zusammenhang mit dem Security Incident sowie alle Antworten zusammen, die bei der Überprüfung nach dem Incident enthalten sind.

    Eine erste Liste von Fragen wird zwar mit dem Basissystem bereitgestellt, ist jedoch anpassbar. Sie können Kategorien erstellen und ihnen neue Fragen hinzufügen oder einzelne Fragen innerhalb vorhandener Kategorien ändern. Sie können Fragen basierend auf Rollen stellen. Sie können definieren, wann bestimmte Fragen gestellt werden. Es gibt Fragen, die Sie beispielsweise nur für Ihre UNIX-Server oder nur bei kriminellen Aktivitäten stellen. Sie können Fragen definieren, die abhängig von der Antwort auf eine andere Frage oder vom Wert in einem Feld im Formular gestellt werden. Es kann sogar Fragen geben, die vollständig durch Abfragen der Datenbank gefüllt werden.

    Nachdem der Security Incident gelöst und in den Status Überprüfen versetzt wurde, werden Bewertungen für alle zugewiesenen Benutzer und Benutzer generiert, die direkt aus der Liste Bewertungen anfordern hinzugefügt wurden.

    Der Fragebogen kann ein hilfreiches Tool sein, um Informationen über die Behandlung des Security Incident aus verschiedenen Quellen zu sammeln.

    Während der Überprüfung können Sie der Liste weitere Anwender hinzufügen oder vorhandene Anwender aus der Liste entfernen, es sei denn, sie haben bereits mit dem Ausfüllen des Fragebogens begonnen. Wenn Sie der Liste neue Benutzer hinzufügen, erhalten sie die Fragen, wenn der Datensatz gespeichert wird. Der Security Incident kann erst geschlossen werden, wenn alle Fragebogen ausgefüllt wurden. Sobald Fragebögen von den einzelnen Benutzern ausgefüllt werden, wird der Nachfolgebericht zum Incident automatisch generiert (und erneut generiert) und auf der Registerkarte Überprüfung nach Incident angezeigt.

    So starten Sie eine Überprüfung nach Incident:

    Prozedur

    1. Erstellen Sie einen Security Incident, oder öffnen Sie einen vorhandenen, indem Sie zu navigieren Security Incident > Incidents > Mir zugewiesen (oder „An Team zugewiesen“ oder „Nicht zugewiesene Incidents“)an.
    2. Klicken Sie auf die Registerkarte Überprüfung nach Incident.
    3. Das Feld Bewertungen anfordern enthält standardmäßig die Person im Feld Zugewiesen an.
      Klicken Sie auf das Schlosssymbol, um weitere Anwender zur Überprüfungsliste hinzuzufügen. Nachdem das Feld entsperrt wurde, stehen Optionen zum Hinzufügen oder Entfernen mehrerer Benutzer und Rollen oder zum Eingeben von Benutzer-E-Mail-Adressen zur Verfügung.
    4. Wenn Sie Ihre Eingaben abgeschlossen haben, klicken Sie auf das Schlosssymbol, um das Feld zu sperren.
      Hinweis:
      Sie können auch Bedingungen definieren, die bei Erfüllung in einem Security Incident dazu führen können, dass bestimmte Benutzer automatisch dem Feld Bewertungen anfordern für diesen Security Incident hinzugefügt werden. Wenn beispielsweise die Kategorie eines Security Incidents in Phishinggeändert wird, können bestimmte Personen, die über Erfahrung mit Phishing-Bedrohungen verfügen, der Liste der Überprüfungen nach Incidents hinzugefügt werden. Weitere Informationen finden Sie unter Erstellen Sie PIR-Zuweisungsregeln.
    5. Klicken Sie auf Aktualisieren.
      Wenn der Incident in den Status Überprüfen übergeht (oder sofort, wenn er sich bereits im Status Überprüfen befindet), erhält jeder Benutzer in der Überprüfungsliste eine erste E- Mail-Benachrichtigung. Wenn das Fälligkeitsdatum näher rückt, werden Erinnerungen gesendet. Wenn ein Benutzer über den E-Mail-Link oder über den Fragebogen zugreift Überprüfung nach Incident > Meine ausstehenden Überprüfungen, werden die angezeigten Fragen aus allen Kategorien ausgewählt, die auf diesen Security Incident passen. Wenn neue Benutzer vor dem Fälligkeitsdatum zur Überprüfungsliste hinzugefügt werden, erhalten sie Benachrichtigungen, wenn der Security Incident gespeichert wird.

      Wenn Benutzer ihre Fragebögen ausfüllen, werden im Nachfolgebericht zum Incident die entsprechenden Daten zusammengestellt und auf der Registerkarte „Nachfolgeprüfung zum Incident “ angezeigt. Die Fragebogendaten werden auf der Registerkarte Ergebnisse angezeigt.