Security Incident Response verstehen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Verwalten Sie mit Security Incident Response (SIR) den Lebenszyklus Ihrer Security Incidents von der ersten Analyse bis hin zu Eindämmung, Beseitigung und Wiederherstellung. Mit Security Incident Response erhalten Sie ein umfassendes Verständnis der von Ihren Analysten durchgeführten Incident-Reaktionsverfahren und verstehen Trends und Engpässe in diesen Verfahren mit analysebasierten Dashboards und Berichten.

    Sehen Sie sich dieses neunminütige Video an, um mehr über den SIR-Prozess, die Verwendung von Security Incident Response zur Abwehr von Angriffen und die Anzeige von Sicherheitsaktivitäten im Security Incident Response Explorer zu erfahren.

    Integrierte Integrationen mit Cybersicherheitslösungen von Drittanbietern und von Partnern entwickelte Integrationen aus dem ServiceNow Store ermöglichen die Sicherheitsautomatisierung und -orchestrierung für eine effiziente und genaue Reaktion auf Incidents.

    Um Ihre Untersuchungen zu schützen und Security Incidents vertraulich zu behandeln, bietet Security Incident Response die Möglichkeit, den Zugriff auf das System auf bestimmte sicherheitsbezogene Rollen und ACLs zu beschränken. Nicht-Sicherheitsadministratoren können vom Zugriff ausgeschlossen werden, es sei denn, Sie gewähren ihnen ausdrücklich Zutritt.
    Hinweis:
    IT-Systemadministratoren [admin] können die Identität von ServiceNow-Benutzern annehmen. Wenn ein Administrator jedoch die Identität eines Benutzers mit einer Anwendungsadministratorrolle für Security Incident Response annimmt, kann er nicht auf die von dieser Rolle gewährten Funktionen zugreifen, einschließlich Security Incidents und Profilinformationen. Der Zugriff auf Module und Anwendungen in der Navigationsleiste ist ebenfalls eingeschränkt. Außerdem kann der Administrator das Passwort eines Benutzers mit einer Anwendungsadministratorrolle für Security Incident Response nicht ändern.

    SIR-Informationsfluss

    Security Incident Response verwendet den folgenden Informationsfluss, von der Integration über die Untersuchung bis hin zur Lösung und Überprüfung.

    Abbildung : 1. Informationsfluss in Security Incident Response
    SIR-Informationsfluss

    Discovery

    Security Incidents können auf folgende Arten protokolliert oder erstellt werden.
    • Aus dem Security Incident-Formular
    • Aus Events, die intern erzeugt oder von externen Überwachungs- oder Schwachstellennachverfolgungssystemen über Warnungsregeln oder manuell erstellt werden
    • Aus externen Überwachungs- oder Nachverfolgungssystemen
    • Aus dem Servicekatalog

    Analyse

    Abhängig von der ausgewählten Ansicht, die Sie verwenden (Standard, Nicht-IT-Sicherheit, Sicherheits-ITIL usw.) kann das Security Incident-Formular eine beliebige Kombination von Schwachstellen, Incidents, Changes, Problemen, Aufgaben für das betroffene CI und das betroffene CI anzeigen Gruppen. Das System kann Malware, Viren und andere Schwachstellenbereiche identifizieren, indem es auf die Datenbank des National Institute of Standards and Technology (NIST) oder andere Erkennungssoftware von Drittanbietern verweist. Nach der Lösung von Security Incidents können Sie jeden Incident verwenden, um einen Sicherheits-Knowledge Base-Artikel zur späteren Referenz zu erstellen.

    Führen Sie weitere Analysen mithilfe einer Business Service-Übersicht durch, um andere betroffene Systeme oder Business Services zu finden, die infiziert werden können.

    Eindämmung, Beseitigung und Wiederherstellung

    Während Sie Schwachstellen überwachen und analysieren, können Sie Aufgaben erstellen und anderen Abteilungen zuweisen. Sie können eine Business Service-Übersicht verwenden, um Aufgaben, Probleme oder Änderungen für alle betroffenen Systeme, Dokumente, Aktivitäten, SMS-Nachrichten, Brückenanrufe usw. zu erstellen.

    Prüfung

    Nachdem der Incident gelöst wurde, können vor dem Abschluss weitere Schritte ausgeführt werden. Sie können eine Überprüfung nach Incidents durchführen. Das Erstellen von Knowledge Base-Artikeln kann bei zukünftigen ähnlichen Incidents hilfreich sein. Signifikante Incidents erfordern möglicherweise eine Überprüfung der Lösung nach dem Incident. Diese Überprüfung kann verschiedene Formen annehmen. Beispiel:
    • Führen Sie eine Besprechung durch, um den Incident zu besprechen und Antworten zu sammeln.
    • Schreiben und verteilen Sie an die Teams, die an einem Incident gearbeitet haben, eine Liste mit Fragen zur Lösungsüberprüfung, die für jede Kategorie oder Priorität des Incident entwickelt wurden.
    • Incident-Manager können den Bericht schreiben und Informationen selbst sammeln.
    Ein Bericht zur Überprüfung der Incident-Lösung kann automatisch generiert werden, der Folgendes enthält:
    1. eine Zusammenfassung dessen, was getan wurde
    2. die Zeitleiste
    3. Typ des aufgetretenen Security Incidents
    4. alle zugehörigen Incidents, Changes, Probleme, Aufgaben, CI-Gruppen
    5. die Details der Lösung
    Darüber hinaus ist ein automatisiertes Umfragesystem zur Überprüfung der Lösung von Security Incidents verfügbar. Sie erfasst die Namen aller Benutzer, die einem Security Incident zugewiesen sind, und sendet eine benutzerdefinierte Umfrage, um Daten über die Behandlung des Incident zu sammeln. Diese Daten können dann in einem generierten Security Incident-Überprüfungsbericht zur Verfügung gestellt werden, den Sie in einen endgültigen Entwurf bearbeiten können. Ähnliche Daten können einem Knowledge Base-Artikel hinzugefügt werden, um gelernte Lektionen und Schritte zur Lösung ähnlicher Probleme in der Zukunft zu enthalten.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Security Incident Response – Terminologie

    Die folgenden Begriffe werden in Security Incident Responseverwendet.
    Begriff Definition
    Aktiv Alle Security Incidents, die sich nicht im Status „Geschlossen“ oder „Abgebrochen“ befinden
    Administratorsperre Die Möglichkeit, den Zugriff von Security Incident Response auf Mitarbeiter mit sicherheitsbezogenen Rollen und ACLs zu beschränken.
    Eingehende Sicherheitsanforderungen Anforderungen, die für Sicherheitsanforderungen mit geringen Auswirkungen übermittelt werden, z. B. die Anforderung eines neuen elektronischen Abzeichens.
    Verwalten von Aktivitäten nach Incidents Eine Überprüfung der Herkunft und Behandlung eines Security Incident. Das Endprodukt ist ein Bericht nach dem Incident, der alle durchgeführten Aktionen und die Gründe dafür dokumentiert.
    Antwortaufgaben Aufgaben, die einem Security Incident zugewiesen sind, um Aktionen als Reaktion auf die Bedrohung nachzuverfolgen.
    Security Incident-Rechner verstehen Rechner, die zum Aktualisieren von Datensatzwerten verwendet werden, wenn vorkonfigurierte Bedingungen erfüllt sind.
    Security Incident-Verzeichnisübersichten Diagrammtyp, der Security Incident-Daten hierarchisch in Form von geschachtelten Rechtecken anzeigt.
    Bedrohungssuche Eine vom Security Incident-Katalog übermittelte Anforderung zum Scannen von Dateien, URLs und IP-Adressen auf Malware.
    Schwachstellenscan Eine über das Security Incident-Formular initiierte Anforderung zum Scannen betroffener Ressourcen (Server, Computer und andere Konfigurationselemente) auf Schwachstellen.