Modelo de fluxo de trabalho de negação de serviço de incidente de segurança

Gestão de Segurança de Washington DC

Release

washingtondc

ft:locale

pt-BR

ft:publication_title

Gestão de Segurança de Washington DC

ft:clusterId

security

bundleId

security

workflow

Technology

Modelo de fluxo de trabalho de negação de serviço de incidente de segurança

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

3 min. de leitura

O Incidente de segurança - Negação de serviço - Modelo permite que você execute uma série de tarefas projetadas para lidar com ataques de negação de serviço (DOS).

Antes de Iniciar

Função necessária: sn_si.write

Por Que e Quando Desempenhar Esta Tarefa

O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida como Negação de serviço. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

Negação de serviçoTemplate — Figura 1. Negação de serviço (DOS)

Procedimento

Abra o incidente de segurança para esta ocorrência de negação de serviço ou crie um novo incidente de segurança.
Em Categoria, selecione Negação de serviço.
Salve o registro.

Role para baixo e abra a lista relacionada Tarefas de resposta.

A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo seja encerrado.

Tabela 1. Tarefas de resposta no modelo de negação de serviço
Tarefa de resposta	Ação	Resultados
A meta é crítica para os negócios?	Determine se o destino deste ataque do DOS é essencial para os negócios. Na tarefa, selecione Sim ou Não em Resultado.	Se você selecionar Sim, a tarefa Definir prioridade como crítica será executada. Se você selecionar Não, uma vulnerabilidade está sendo explorada? tarefa é executada.
Definir prioridade como crítica	Nenhuma ação necessária.	A Prioridade do incidente de segurança é alterada automaticamente para Críticae a resposta Uma vulnerabilidade está sendo explorada? tarefa é executada.
Há uma vulnerabilidade sendo explorada?	Determine se este ataque do DOS explora uma vulnerabilidade de software. Na tarefa, selecione Sim ou Não em Resultado.	Se você selecionar Sim, a tarefa de solicitação de patch de emergência será executada. Se você selecionar Não, o invasor interno? tarefa é executada.
Solicitação de patch de emergência	Emita uma solicitação de patch de emergência para os sistemas que estão sendo atacados. Atualize o campo Estado na tarefa conforme apropriado.	Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
Invasor interno?	Determine se a origem deste ataque do DOS é interna à sua organização. Na tarefa, selecione Sim ou Não em Resultado.	Se você selecionar Sim, a tarefa Isolar host(es) de ataque será executada. Se você selecionar Não, o provedor de proteção Notify DOS e/ou a tarefa do ISP serão executados.
Isolar os hosts de ataque	Execute as etapas necessárias para isolar os hosts internos responsáveis pelo ataque. Atualize o campo Estado na tarefa conforme apropriado.	Depois de concluir esta etapa, a tarefa Validar a integridade do sistema dos sistemas atacados será executada.
Notificar provedor de proteção do DOS e/ou ISP	Execute as etapas necessárias para entrar em contato com seu provedor de proteção contra negação de serviço e/ou seu provedor de serviços de Internet para notificá-los sobre o ataque. Atualize o campo Estado na tarefa conforme apropriado.	Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
Validar a integridade do sistema dos sistemas atacados	Execute as etapas necessárias para avaliar e validar a integridade dos computadores atacados. Atualize o campo Estado na tarefa conforme apropriado.	Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
Revisar proteções do DOS	Realize uma revisão das proteções e procedimentos existentes do DOS. Faça as alterações necessárias. Atualize o campo Estado na tarefa conforme apropriado.	Se você alterou o estado da tarefa para Encerrado concluído ou Cancelado, a próxima tarefa de resposta será executada.
Definir estado como revisão	Nenhuma ação necessária.	O Estado do incidente de segurança é alterado automaticamente para Revisar. A tarefa de reunião de Lições aprendidas é executada.
Reunião de lições aprendidas	Realize uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este incidente de negação de serviço. Atualize o campo Estado na tarefa conforme apropriado.	Se você alterar o estado da tarefa para Encerrado concluído ou Cancelado, o fluxo será encerrado.