Playbook für die Automatisierung von untergeordneten Security Incidents
Doppelte Security Incidents werden als untergeordnete Security Incidents kategorisiert und per Rollup zu den übergeordneten Security Incidents zusammengefasst.
Das Playbook „Automatisierung von untergeordneten Security Incidents“ trägt dazu bei, die Zeit für die Untersuchung und das Schließen doppelter Security Incidents zu reduzieren. Dieses Playbook führt automatisch ein Rollup für bestimmte eindeutige Artefakte des untergeordneten Security Incident (erkennbare Elemente, betroffene Benutzer, CIs) zum übergeordneten Security Incident durch.
Voraussetzungen
- sn_si.admin
- flow_designer
Spoke: Security Operations-Spoke installieren (sn_sec_spoke)
Wichtige Funktionen
Das Playbook „Untergeordnete Automatisierung“ deckt die folgenden Funktionen ab:
- Verschiebt den Security Incident in die Analysephase.
- Beseitigt Duplikate und fügt die betroffenen Benutzer und CIs dem übergeordneten Security Incident hinzu (führt ein Rollup durch).
- Fügt dem übergeordneten Security Incident erkennbare Elemente aus dem untergeordneten Incident hinzu.
- Schließt oder bricht den untergeordneten Security Incident ab, wenn der übergeordnete Security Incident geschlossen wird.
Erforderliche Fähigkeiten
Weitere Informationen finden Sie im ServiceNow Store.
Erfahrung von Sicherheitsanalysten
Informationen zur schrittweisen Lösung von Sicherheitsbedrohungen finden Sie unter Beheben Sie Sicherheitsbedrohungen mit dem Playbook.
Vertieftes Verständnis des Playbooks für die Automatisierung von untergeordneten Security Incidents mit Flow Designer-Funktionen
- Melden Sie sich als Benutzer mit den Rollen sn_si.user und flow_designer an.
- Navigieren zu und klicken Sie auf das Playbook Fehlgeschlagene Anmeldung.
- Erstellen Sie eine Kopie des Child Security Incident Automation-Playbooks, und nehmen Sie die erforderlichen Änderungen vor. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen daran vornehmen möchten.
- Nehmen Sie die erforderlichen Änderungen gemäß Ihren Anforderungen vor. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen daran vornehmen möchten.
- Aktivieren Sie das Playbook.
- Aktivieren Sie den Haupt-Flow, um das mit dem Basissystem verfügbare Playbook zu verwenden.
- Aktivieren Sie den kopierten Flow, nachdem Sie Änderungen gemäß Ihren Anforderungen vorgenommen haben.
- Das Feld „Übergeordneter Security Incident“ ist nicht leer.
- Der übergeordnete Security Incident befindet sich im Status „Entwurf“, „Analyse“, „Eindämmen“ oder „Beseitigen“.
Die folgenden Schritte führen Sie durch die Aktionen und Aufgaben, die im Playbook für die Automatisierung von untergeordneten Security Incidents verfügbar sind.
- Wenn die Ausführung des Playbooks in Schritt 1 beginnt und sich der Security Incident im Status „Entwurf“ befindet, wird er aktualisiert und in den Status „Analyse“ versetzt.
- In den Schritten 2 und 3 werden die betroffenen Benutzer für den Security Incident abgerufen und ein Rollup zum übergeordneten Security Incident durchgeführt. Alle doppelten Benutzer werden eliminiert.
- In den Schritten 4 und 5 werden Konfigurationselemente abgerufen, die dem untergeordneten Security Incident zugeordnet sind, und für eindeutige CIs wird ein Rollup zum übergeordneten Security Incident durchgeführt.
- In den Schritten 6 und 7 werden die dem untergeordneten Security Incident zugeordneten erkennbaren Elemente abgerufen und für eindeutige erkennbare Elemente wird ein Rollup zum übergeordneten Security Incident durchgeführt.
- In den Schritten 8 und 9 werden automatisierte Arbeitsnotizen in den übergeordneten und nachfolgenden Security Incidents veröffentlicht, die angeben, dass für die betroffenen Benutzer, Konfigurationselemente und erkennbaren Elemente ein Rollup vom untergeordneten zum übergeordneten Security Incident durchgeführt wurde.