Workflow „Security Incident Response - Get Laufende Services“.

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

1 Minute Lesedauer

Der Workflow „Security Incident Response – Get Laufende Services“ ruft eine Liste der laufenden Services aus Windows-basierten Konfigurationselementen (Configuration Items, CI) ServiceNow] ab. Dieser Workflow wird während Untersuchungen für die Anreicherung von Incidents verwendet.

Vorbereitungen

Erforderliche Rolle: sn_si.analyst

Warum und wann dieser Vorgang ausgeführt wird

Der Workflow Security Incident Response – Get Laufende Services wird automatisch ausgeführt, wenn Sie einem Windows-Security Incident ein neues Configuration Item hinzufügen, nachdem der Status in Analysegeändert wurde. Die Informationen, die dieser Workflow erhält, werden auf den Registerkarten „Ergänzungsdaten anzeigen“ für den Security Incident angezeigt.

Hinweis:

Wenn der Security Incident im Status Entwurf bleibt, wird der Workflow „Security Incident Response – Laufende Services abrufen“ nicht ausgeführt.

Zu den Workflow-Aktivitäten gehören:

Aktivität „Audit-Protokoll-Ergänzungsskript“.
FQDN-Flow-Aktion für Konfigurationselement abrufen
Bestimmen Sie das Shell-Skript anhand der Betriebssystemaktivität
Ist „Ausführung über PowerShell-Aktivität“.
Laufende Services abrufen – WMI-Ergänzungsaktivität
Flow-Aktion zum Erstellen von Datensätzen mit Ergänzungsdaten

Workflow-Diagramm „Security Incident Response - Get Laufende Services“. — Abbildung : 1. Laufende Services abrufen

Prozedur

Öffnen Sie einen Security Incident.
Aktualisieren Sie bei Bedarf den Status auf Analyse.
Fügen Sie ein Windows-basiertes Configuration Item (Server, Laptop oder Ähnliches) hinzu.
Klicken Sie auf Aktualisieren.
Security Incident Response stellt Informationen zu laufenden Services im bereit Zugehörige Links > Ergänzungen zu Security IncidentsRegisterkarte Weitere Informationen finden Sie unter Security Operations Zuordnung von Ergänzungsdaten.