Fluxo de trabalho de fechamento de incidente de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Feche o incidente de segurança atualizando o estado do incidente.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Espaços > Espaço de resposta a incidentes de segurança.
    2. Por exemplo, vá para Listas > Incidentes de segurança > Incidentes abertos.
    3. Abra um incidente que você deseja fechar.
    4. Vá para a guia Detalhes.
    5. Faça uma busca detalhada no estado do incidente e selecione Fechar.
    6. Execute as atividades de encerramento.

      • Esta é uma etapa obrigatória para revisar qualquer tarefa antes de fechar um incidente de segurança. Todas as tarefas de resposta devem ser revisadas pelo analista e encerradas ou canceladas antes do encerramento como incidente de segurança. Quando o analista clica em Revisar tarefas ativas, o usuário é direcionado para a guia Tarefas de resposta. Uma mensagem de sessão será exibida, informando que você está no processo de encerrar um incidente de segurança. Clique em continuar.

      • Clique em Continuar. A primeira etapa - revisar as tarefas ativas no encerramento do incidente de segurança está concluída.
        Figura 1. Revisando tarefas de fechamento
      • Avance para a próxima etapa para revisar os playbooks ativos para o analista revisar, que é uma etapa opcional. Você pode clicar no link para revisar a tarefa do playbook ativo e fechá-lo conforme necessário.
        Nota:
        Todos os fluxos de trabalho ativos, atividades do playbook e fluxos serão cancelados automaticamente no fechamento do incidente de segurança.
        Figura 2. Revisar tarefas do playbook
      • Relatório de revisão pós-incidente: agora você será movido para revisar as atividades pós-incidente para prosseguir com o fechamento. Se a avaliação for opcional, pule a etapa ou, se for obrigatória, faça a avaliação e conclua-a.
        Figura 3. Revisar/fazer avaliação
      • Configurar/visualizar relatório: esta é novamente uma etapa opcional. Clique no link para revisar o relatório e prosseguir para a próxima etapa.
      • Fornecer detalhes da resolução: o analista pode marcar a caixa de seleção para criar artigos de conhecimento automaticamente.
      • Forneça o Código de fechamento, as Anotações de fechamento e clique em Fechar incidente.
      Nota:
      Por alguma chance, se o analista cancelar a caixa de diálogo Fechar o incidente de segurança, o analista poderá navegar até a guia Detalhes e mudar o estado do incidente para fechar para continuar com o fechamento.