Management schwerwiegender Sicherheits-Incidents – Administration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Planen und konfigurieren Sie Ihre Management schwerwiegender Sicherheits-Incidents -Implementierung.

    Sie können die folgenden Aspekte der Verwaltung von Management schwerwiegender Sicherheits-Incidents konfigurieren:

    Ermöglichen Sie das Vorschlagen, Heraufstufen und Verknüpfen von schwerwiegenden Security Incidents

    Ermöglichen Sie Benutzern, Incidents als schwerwiegende Security Incidents vorzuschlagen oder heraufzustufen. Verfolgen Sie alle Incidents im Zusammenhang mit einem schwerwiegenden Security Incident einfach nach, indem Sie die Verknüpfung von Security Incidents mit dem übergeordneten oder untergeordneten Incident ermöglichen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationen.
    2. Ermöglichen Sie Benutzern, einen Security Incident zu einem schwerwiegenden Security Incident vorzuschlagen, indem Sie im Abschnitt „SIR/VR Workspace Actions“ (SIR/VR-Arbeitsbereichsaktionen) das Kontrollkästchen Schwerwiegenden Security Incident vorschlagen aktivieren.
    3. Ermöglichen Sie Benutzern, einen Security Incident zu einem schwerwiegenden Security Incident heraufzustufen, indem Sie das Kontrollkästchen Zu schwerwiegendem Security Incident heraufstufen aktivieren.
    4. Aktivieren Sie die Verknüpfung eines Security Incident mit einem schwerwiegenden Security Incident, damit sie zusammen nachverfolgt werden können, indem Sie das Kontrollkästchen Mit schwerwiegendem Security Incident verknüpfen aktivieren.
    5. Wählen Sie Aktualisieren.

    Markieren Sie Security Incidents als schwerwiegende Security Incidents

    Markieren oder kennzeichnen Sie die Security Incidents oder angreifbaren Datensätze für einen schwerwiegenden Security Incident, wenn der Incident vorgeschlagen oder heraufgestuft wird. Wenn ein Security Incident vorgeschlagen wird, wird der Incident-Datensatz als Kandidat für schwerwiegenden Security Incident bezeichnet. Wenn eine Sicherheit heraufgestuft wird, wird der Incident-Datensatz als schwerwiegender Security Incident mit dem Status „Akzeptiert“ bezeichnet.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationen.
    2. Aktivieren Sie das Kontrollkästchen Bezeichnungen anzeigen, um den vorgeschlagenen Incident-Kandidaten als schwerwiegenden Security Incident zu kennzeichnen, indem Sie das Suchfeld Bezeichnungsname – Als Kandidaten vorschlagen auswählen und im Abschnitt „Bezeichnungen des SIR/VR-Arbeitsbereichs “ die Option Kandidat für schwerwiegenden Security Incident auswählen.
    3. Aktivieren Sie das Kontrollkästchen Bezeichnungen anzeigen, um den heraufgestuften Incident-Kandidaten als schwerwiegenden Security Incident zu kennzeichnen, indem Sie das Suchfeld Bezeichnungsname – Heraufstufung zu schwerwiegendem Security Incident auswählen und im Abschnitt SIR/VR Workspace Labels (SIR/VR-Arbeitsbereich) die Option Schwerwiegender Security Incident auswählen.
    4. Wählen Sie Aktualisieren.

    Konfigurieren Sie Bezeichnungen für schwerwiegende Security Incidents

    Konfigurieren Sie Bezeichnungen in Major Security Incident Management, um benutzerdefinierte Bezeichnungen zu erstellen und die externen Zusammenarbeitsaktivitäten und -aufgaben im Aktivitätenstrom zu filtern. Die verschiedenen Arten von implementierten Bezeichnungen sind Statusbezeichnungen und Zeitleistenbezeichnungen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationen.
    2. Aktivieren Sie das Kontrollkästchen Bezeichnungen anzeigen, um die Bezeichnung verschiedener Incident-Status wie „Analyse“, „Eindämmen“, „Beseitigen“, „Wiederherstellen“, „Überprüfen“, „Zeitleistenereignis“ im Abschnitt „Bezeichnungen des MSIM-Arbeitsbereichs“ (Anzeige für Zusammenarbeitsaktivitäten und -aufgaben) zu aktivieren.
    3. Wählen Sie Aktualisieren.

    Konfigurieren Sie Bezeichnungen für schwerwiegende Security Incidents

    Konfigurieren Sie verschiedene Arten von Bezeichnungen, um die Incident-Status besser zu filtern und anzugeben. Bezeichnungen für schwerwiegende Security Incidents bieten die Flexibilität, die Zusammenarbeitsaktivitäten und -aufgaben der Incident-Datensätze zu kennzeichnen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Sie können die Bezeichnungen mithilfe des Bezeichnungssymbols aktivieren oder deaktivieren, das im Abschnitt „Aktivitätenstrom“ des Abschnitts „Zusammenarbeit und Aufgabenorganisator“ des MSIM-Arbeitsbereichs verfügbar ist.

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > MSI-Bezeichnungen.
    2. Klicken Sie auf Neu, um eine neue Bezeichnung zu erstellen.
    3. Füllen Sie das Formular mit Bezeichnungsnameund Bezeichnungsfarbe aus.
    4. Klicken Sie auf Bezeichnung erstellen.
    5. OOTB, im Folgenden sind die konfigurierten Bezeichnungen für jeden Incident-Status aufgeführt. Sie können den Namen oder die Farbe der Bezeichnung nicht ändern:
      • Analyse
      • Beinhalten
      • Beseitigen
      • Prüfen
      • Wiederherstellen
      • Zeitleistenereignis
      Hinweis:
      Sie können die benutzerdefinierten Bezeichnungen und ihre Eigenschaften ändern.

    Legen Sie die Benachrichtigungseinstellungen für fest MSIM

    Automatisieren Sie den E-Mail-Benachrichtigungsprozess, und benachrichtigen Sie die Benutzer, wenn ein Security Incident entweder vorgeschlagen oder zu einem Kandidaten für einen schwerwiegenden Security Incident hochgestuft wird.

    Erforderliche Rolle: sn_msi.workspace_admin.

    Die Benachrichtigungen werden nur ausgelöst, wenn ein Security Incident vorgeschlagen und an alle Benutzer und Gruppen gesendet wird, die für die Benachrichtigungsliste konfiguriert sind. Standardmäßig wird die E-Mail-Benachrichtigung von dem Benutzer empfangen, der den Security Incident als Kandidaten für einen schwerwiegenden Security Incident vorgeschlagen hat.

    Benachrichtigung: Security Incident vorgeschlagen (SI) als schwerwiegender Security Incident (MSI)

    Wer erhält:

    • Standardmäßig ist MSI-Überprüfer Gruppenname wird erstellt, und jeder Benutzer, der dieser Gruppe hinzugefügt wird, darf ein sein MSIM-Manager und die Benutzer, die sich in dieser Gruppe befinden, erhalten die Benachrichtigungs-E-Mails.
    • Jeder bestimmte Benutzer, der hinzugefügt wird Anwender Die Liste erhält auch die Benachrichtigungs-E-Mails.

    Was darin enthalten sein wird:

    Wenn Sie den E-Mail-Inhalt ändern möchten, z. B. den E-Mail-Text, der den Betreff oder den Nachrichten-HTML-Code enthält, müssen Sie über die Systemadministrator-Rolle verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI an MSI vorgeschlagen
    Benachrichtigung: Security Incident heraufgestuft (SI) als schwerwiegender Security Incident (MSI)

    Diese Benachrichtigung wird ausgelöst, wenn ein Security Incident hochgestuft wird und wenn der Datei-Explorer und die Basisstruktur Microsoft Teams erstellt werden. Standardmäßig wird diese Benachrichtigung von dem Benutzer empfangen, der den Security Incident zu einem schwerwiegenden Security Incident heraufgestuft hat.

    Empfänger

    • Standardmäßig ist eine Gruppe nach Name MSI-Responder wird erstellt, und jeder Benutzer, der dieser Gruppe hinzugefügt wird, hat die Berechtigung MSIM-Responder Rolle und alle Benutzer, die sich in dieser Gruppe befinden, erhalten die Benachrichtigungs-E-Mail.
    • Jeder bestimmte Benutzer, der hinzugefügt wird Anwender Die Liste erhält auch die Benachrichtigungs-E-Mails.
    Was enthalten sein wird

    Wenn Sie den E-Mail-Inhalt ändern möchten, z. B. den E-Mail-Text, einschließlich Betreff oder Nachrichten-HTML, müssen Sie über die Systemadministrator-Rolle verfügen oder als Systemadministrator und nicht als MSI-Administrator zugewiesen sein.

    Benachrichtigungs-SI wurde zu MSI heraufgestuft

    Konfigurieren Sie MSI-Abschlussaktivitäten

    Richten Sie Aktionen ein, die automatisch ausgeführt werden, wenn ein schwerwiegender Security Incident geschlossen wird. Erhöhen Sie die Sicherheit, indem Sie Ordner mit Lösungsinformationen automatisch archivieren und den Zugriff darauf entfernen.

    Vorbereitungen

    Erforderliche Rolle: sn_msi.workspace_admin

    Prozedur

    1. Navigieren zu Alle > Management schwerwiegender Sicherheits-Incidents > MSI-Administration > Konfigurationen.
    2. Archivieren Sie Chatkommunikation im Zusammenhang mit der Lösung des Incident, indem Sie im Abschnitt „Automatisierte Abschlussaktionen“ das Kontrollkästchen Zusammenarbeitskanäle archivieren aktivieren.
    3. Entfernen Sie Ordner, die Material im Zusammenhang mit der Lösung des Incident enthalten, indem Sie das Kontrollkästchen Ordner für Zusammenarbeit entfernen aktivieren.
    4. Wählen Sie Aktualisieren.