Outras tarefas de configuração Security Incident Response adicionais

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 9 min. de leitura

    • Se você for um administrador no domínio global, configure como Security Incident Response lida com as operações diárias.

    Antes de Iniciar

    Função necessária: sn_si.admin
    Nota:

    Essas opções são padrão para muitos aplicativos de gerenciamento de serviços e, como tal, eles usam a terminologia de gerenciamento de serviços. Por exemplo, Solicitação é usada para a tarefa principal (ou seja, o incidente de segurança) e Tarefa é usada para subtarefas ou Tarefas de resposta.

    Se você for um administrador em um domínio inferior ao domínio global, poderá exibir a tela Configurações, mas modificar as configurações.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Administração > Configuração.
      As opções para configurar as aplicações são organizadas nestas guias:
      • A guia Processo de negócios contém opções para configurar o ciclo de vida da solicitação, criar catálogos e solicitações e configurar notificações.
      • A guia Atribuição contém opções para configurar atribuições manuais e automáticas.
      • A guia Complementos contém opções para habilitar a base de conhecimento, documentos gerenciados e atividades de tarefa.
    2. Preencha os campos na guia Processo de negócios.
      Tabela 1. Tela de configuração — Guia Processo de negócios
      Campo Descrição
      Ciclo de vida
      As Anotações de trabalho são necessárias para fechar ou cancelar uma solicitação ou tarefa Habilite esta opção para exigir que o usuário insira anotações de trabalho antes que um incidente de segurança ou tarefa de resposta possa ser fechado ou cancelado.
      Copiar anotações de trabalho da tarefa para solicitação Habilite esta opção para sincronizar as anotações de trabalho da tarefa de resposta com as anotações de trabalho no incidente de segurança. Portanto, quando as anotações de trabalho na tarefa são adicionadas, as mesmas anotações de trabalho aparecem no incidente de segurança primário.
      Criação de Solicitação e Catálogo
      Criar ou atualizar solicitações por e-mail de entrada Habilite esta opção para criar ou atualizar incidentes de segurança de e-mails de entrada.
      As solicitações são criadas usando Selecione catálogo ou formulário regular para ativar o catálogo e habilitar a publicação automática de modelos de incidente de segurança no catálogo.

      Selecione o formulário regular somente para desativar o catálogo e desabilitar a publicação automática de modelos de incidente de segurança no catálogo.
      Os modelos criam um item do catálogo dedicado Habilite esta opção para ativar a publicação automática de itens do catálogo para a aplicação.
      Notificações
      Para uma solicitação ou tarefa, quando o campo selecionado for alterado, envie uma notificação aos destinatários Você pode configurar notificações a serem enviadas para destinatários específicos quando os campos selecionados em incidentes de segurança e tarefas de resposta forem alterados.
      1. Na Tabela, selecione Solicitação (incidente de segurança ou Tarefa (tarefa de resposta).
      2. Em Campo, selecione o campo a ser usado para gerar notificações. Quando uma mudança é feita no campo selecionado, uma notificação é enviada aos destinatários identificados.
      3. Em Destinatários, selecione um ou mais destinatários.
      4. Se você selecionar um usuário ou grupo específico, será solicitado a selecionar um usuário ou grupo.
      5. Para definir mais notificações usando outros campos ou destinatários, repita as etapas anteriores para o próximo conjunto de configurações de notificação.
      6. Para remover uma notificação, clique no ícone de símbolo de exclusão de notificação à direita da notificação.
    3. Clique na guia Atribuição e preencha os campos.
      Tabela 2. Tela de configuração — Guia Atribuição
      Campo Descrição
      Método de atribuição para solicitações Selecione o método para atribuir incidentes de segurança:
      • usando atribuição automática: os incidentes de segurança são atribuídos automaticamente.
      • usando um fluxo de trabalho: os incidentes de segurança são atribuídos pelo fluxo de trabalho selecionado.
      • manualmente: os incidentes de segurança são atribuídos manualmente.
      Use este fluxo de trabalho para atribuir solicitações Selecione o fluxo de trabalho para expedir incidentes de segurança. Este campo aparece quando o uso de um fluxo de trabalho é selecionado na lista Método de atribuição para solicitações.
      Método de atribuição para tarefas Selecione o método para atribuir tarefas de resposta:
      • usando atribuição automática : astarefas de resposta são atribuídas automaticamente.
      • usando um fluxo de trabalho: as tarefas de resposta são atribuídas pelo fluxo de trabalho selecionado.
      • manualmente: as tarefas de resposta são atribuídas manualmente.
      Use este fluxo de trabalho para atribuir tarefas Selecione o fluxo de trabalho para atribuir tarefas de resposta. Este campo aparece quando o uso de um fluxo de trabalho é selecionado na lista Método de atribuição para tarefas.
      Atribuir solicitações ou tarefas com base nas áreas cobertas do grupo de atribuições Habilite esta opção para limitar a atribuição de incidentes de segurança e tarefas de resposta a grupos que cobrem o local da tarefa.
      Programando
      A seleção automática de agentes considera o fuso horário das tarefas Habilite esta opção para considerar o fuso horário do agente ao atribuir uma tarefa. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      Fatores adicionais
      A seleção automática de agentes considera a localização dos agentes Habilite esta opção para dar preferência aos agentes que estão mais próximos do local da tarefa ao atribuir tarefas. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      A seleção automática de agentes requer que eles tenham habilidades Selecione o grau em que as habilidades do agente devem corresponder a uma tarefa ao determinar a atribuição automática.
      • Selecione tudo para exigir que um agente atribuído tenha todas as habilidades para executar a tarefa. Um agente que não tem pelo menos uma habilidade é eliminado.
      • Selecione alguns se quiser que os agentes tenham a maioria das habilidades necessárias para executar a tarefa.
      • Selecione Nenhum se quiser atribuir automaticamente os agentes sem levar em conta as habilidades. Este campo aparece quando a atribuição automática é selecionada para incidentes de segurança ou tarefas de resposta.
      Tentativa de seleção automática de atribuir o mesmo agente a todas as tarefas em uma solicitação Habilite esta opção para atribuir automaticamente todas as tarefas de resposta de um incidente de segurança ao mesmo agente.
    4. Clique na guia Complementos e preencha os campos.
      Tabela 3. Tela de configuração — Guia Complementos
      Campo Descrição
      Documentação
      Habilitar uma base de conhecimento dedicada Habilite esta opção para ativar a base de conhecimento para Security Incident Response.
      Habilitar documentos gerenciados Habilite esta opção para adicionar uma lista relacionada a documentos gerenciados.
      Habilitar atividades da tarefa Habilite esta opção para registrar interações e comunicações de tarefa, como chamadas telefônicas e mensagens de e-mail.
    5. Clique em Salvar.

    Bloquear administração de segurança

    Para proteger as investigações e manter os incidentes de segurança privados, você pode restringir o acesso Security Incident Response a funções e ACLs específicas de segurança. Os administradores que não sejam de segurança podem ter acesso restrito, a menos que você permita expressamente a entrada.

    Antes de Iniciar

    Quando a aplicação Security Incident Response é ativada, o usuário Administrador do sistema recebe a função sn_si.admin por padrão. O administrador do sistema é o único administrador que pode configurar grupos de segurança e usuários.

    Uma função de segurança é necessária para ter acesso a Security Incident Response recursos e registros.

    Função necessária: sn_si.admin

    Procedimento

    1. Depois que o plug-in Security Incident Response tiver sido ativado, um usuário com a função de administrador atribuirá a função de administrador com escopo (sn_si.admin) a pelo menos um usuário.
    2. O usuário com a função de administrador muda para o escopo do Incidente de segurança.
    3. Navegar até Aplicações do sistema > Aplicações.
    4. Clique em Downloads.
    5. Digite segurança no campo Pesquisar aplicações.
      Aplicações do sistema
    6. Clique em Incidente de segurança.
    7. Role para baixo até Links relacionados e clique em Remover da função contida pelo administrador.
    8. Saia e faça login novamente.
      O usuário administrador não pode acessar a aplicação Security Incident Response.

    Gerenciar acesso restrito de solicitante

    O recurso Acesso Restrito de Chamador (RCA) permite que um administrador defina o acesso entre escopos a uma aplicação ou recurso de aplicação e permita ou negue solicitações de acesso. Este recurso é habilitado em Security Incident Response por padrão para que os analistas de segurança possam proteger informações confidenciais relacionadas à segurança.

    Um campo chamado Acesso do solicitante foi adicionado a todas as tabelas e inclusões de script em Security Incident Responsee o campo é padronizado como Rastreamento de chamadas. Esta configuração significa que os escopos da aplicação têm permissão para acessar Security Incident Response tabelas e inclusões de script. No entanto, um registro de acompanhamento é criado para cada registro e armazenado na tabela Privilégio de acesso restrito do solicitante [sys_restricted_caller_access].
    Nota:
    Tenha cuidado ao mudar registros de Rastreamento de chamador para Restritoao chamador. Registros com este status não podem ser acessados até que um administrador permita o acesso manualmente. O administrador deve navegar até Aplicações do sistema > Acesso de chamador restrito a aplicação, localize a tabela ou inclusão de script para a qual o acesso foi solicitado e altere o campo Status de Solicitado para Permitido.

    Executar testes de início rápido para Security Incident Response

    Valide se Security Incident Response ainda funciona depois de fazer mudanças de configuração, como aplicar uma atualização ou desenvolver uma aplicação. Copie e personalize esses testes de início rápido para aprovar ao usar seus dados específicos da instância.

    Os testes de início rápido Security Incident Response exigem a ativação do plug-in Security Incident Response (com.snc.security_incident) e o carregamento dos dados de demonstração.

    Tabela 4. Testes Security Incident Response
    Teste Descrição Versão de lançamento
    SIR: criar incidente de segurança Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança. Washington DC
    SIR: criar incidente de segurança por meio do catálogo de incidentes de segurança Determine se um usuário pode criar um incidente de segurança com êxito a partir do formulário de incidente de segurança. Washington DC
    SIR: ciclo de vida do incidente de segurança Valide as tarefas de resposta do fluxo de trabalho de violação de política. Washington DC
    SIR: pesquisa de ameaças Valida a funcionalidade de pesquisa de ameaças. Washington DC
    SIR: configuração OOTB das avaliações de PIR Use este teste para validar avaliações de PIR e configurações de sistema de base. Washington DC
    SIR: configuração condicional das avaliações de PIR

    Verifique se incidentes de segurança correspondentes à regra condicional obrigatória não são encerrados sem a conclusão da avaliação pós-incidente.

    Verifique se os incidentes de segurança correspondentes à regra condicional opcional podem ser encerrados sem a conclusão da avaliação pós-incidente.

    Verifique se as avaliações não são geradas para os incidentes de segurança que não correspondem a nenhuma regra.

    		 Washington DC
    SIR: verificação do tempo de execução do PIR Verifique se os relatórios PIR estão configurados e anexados aos incidentes de segurança de acordo com o novo design. Washington DC
    SIR: verificação de configuração do tempo de design do PIR Verifique se o incidente de segurança está mapeado com o modelo de relatório baseado na configuração do administrador. Washington DC
    SIR: Vincular o incidente de segurança a um importante incidente de segurança existente Vincule um Incidente de Segurança a um Incidente de Segurança Importante existente e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante. Washington DC
    SIR: promover o incidente de segurança como um incidente de segurança importante Promova um Incidente de Segurança como um Incidente de Segurança Importante e valide os dados do Incidente de Segurança implementados no Incidente de Segurança Importante. Washington DC
    SIR: propor Incidente de Segurança como Incidente de Segurança Importante Proponha um Incidente de Segurança como Incidente de Segurança Importante e valide os dados de Incidente de Segurança implementados no Incidente de Segurança Importante. Washington DC
    Verifique se somente Membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ATIVADA Verifique se somente os membros permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver habilitada. Washington DC
    Verifique se somente grupos permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver ATIVADA Verifique se somente os grupos permitidos podem acessar o incidente de segurança quando a opção Impor restrição estiver habilitada. Washington DC
    Validar acesso de leitura Valide o acesso de exibição. Washington DC
    Validar acesso de gravação Valide o acesso de edição. Washington DC