Noções básicas do Security Incident Response

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Com Security Incident Response (SIR), gerencie o ciclo de vida de seus incidentes de segurança, desde a análise inicial até a contenção, erradicação e recuperação. O Security Incident Response permite que você obtenha uma compreensão abrangente dos procedimentos de resposta do incidente realizados por seus analistas e entenda as tendências e os gargalos nesses procedimentos com painéis e relatórios orientados por análise.

    Assista a este vídeo de nove minutos para saber mais sobre o processo de SIR, usando Security Incident Response para impedir ataques e exibindo a atividade de segurança no Security Incident Response Explorer.

    Integrações integradas com soluções de segurança cibernética de terceiros e integrações desenvolvidas por parceiros da ServiceNow Store permitem automação e orquestração de segurança para uma resposta do incidente precisa e eficiente.

    Para proteger suas investigações e manter os incidentes de segurança privados, Security Incident Response fornece os meios para restringir o acesso ao sistema a funções e ACLs relacionadas à segurança específicas. Os administradores que não sejam de segurança podem ter acesso restrito, a menos que você permita expressamente a entrada.
    Nota:
    Os administradores do sistema de TI [admin] podem representar usuários da ServiceNow. No entanto, ao representar um usuário com uma função de administrador de aplicação para o Security Incident Response, um administrador não pode acessar os recursos concedidos por essa função, incluindo incidentes de segurança e informações de perfil. O acesso a módulos e aplicações na barra de navegação também é restrito. Além disso, o administrador não pode mudar a senha de qualquer usuário com uma função de administrador de aplicação para o Security Incident Response.

    Fluxo de informações de SIR

    O Security Incident Response emprega o seguinte fluxo de informações, desde a integração até a investigação e, em seguida, até a resolução e a revisão.

    Figura 1. Fluxo de informações do Security Incident Response
    Fluxo de informações de SIR

    Discovery

    Os incidentes de segurança podem ser registrados em log ou criados das seguintes maneiras.
    • No formulário de Incidente de segurança
    • De eventos gerados internamente ou criados por monitoramento externo ou sistemas de acompanhamento de vulnerabilidades por meio de regras de alerta ou manualmente
    • De sistemas externos de monitoramento ou acompanhamento
    • No catálogo de serviços

    Análise

    Dependendo da exibição selecionada que você está usando (padrão, Segurança não relacionada a TI, Segurança ITIL e assim por diante), o formulário de Incidente de segurança pode mostrar qualquer combinação de vulnerabilidades, incidentes, mudanças, problemas, tarefas no IC afetado e no IC afetado grupos. O sistema pode identificar malware, vírus e outras áreas de vulnerabilidade por referência cruzada ao banco de dados do Instituto Nacional de Padrões e Tecnologia (NIST) ou outro software de detecção de terceiros. Conforme os incidentes de segurança são resolvidos, você pode usar qualquer incidente para criar um artigo da base de conhecimento de segurança para referência futura.

    Realize análises adicionais usando um mapa de serviços de negócios para localizar outros sistemas afetados ou serviços de negócios que podem estar infectados.

    Contenção, Erradicação e Recuperação

    Ao monitorar e analisar vulnerabilidades, você pode criar e atribuir tarefas a outros departamentos. Você pode usar um mapa de serviço de negócios para criar tarefas, problemas ou mudanças para todos os sistemas afetados, documentos, atividades, mensagens SMS, chamadas em ponte e assim por diante.

    Revisar

    Depois que o incidente for resolvido, outras etapas podem ocorrer antes do fechamento. Você pode executar uma revisão pós-incidente. Criar artigos da base de conhecimento pode ajudar em incidentes semelhantes futuros. Incidentes significativos podem exigir uma revisão de resolução pós-incidente. Esta revisão pode assumir várias formas. Por exemplo:
    • Conduza uma reunião para discutir o incidente e coletar respostas.
    • Escreva e distribua para as equipes que trabalharam em um incidente uma lista de perguntas de revisão de resolução projetadas para cada categoria ou prioridade de incidente.
    • Os gerentes de incidentes podem escrever o relatório e coletar informações por conta própria.
    Um relatório de revisão de resolução de incidente pode ser gerado automaticamente, incluindo:
    1. um resumo do que foi feito
    2. a linha do tempo
    3. o tipo de incidente de segurança encontrado
    4. todos os incidentes relacionados, mudanças, problemas, tarefas, grupos de IC
    5. os detalhes da resolução
    Além disso, um sistema de pesquisa de revisão de resolução de incidente de segurança automatizado está disponível. Ele reúne os nomes de todos os usuários atribuídos a um incidente de segurança e envia uma pesquisa personalizada para coletar dados sobre o tratamento do incidente. Esses dados podem ser disponibilizados em um relatório de revisão de incidente de segurança gerado, que você pode editar em um rascunho final. Dados semelhantes podem ser adicionados a um artigo da base de conhecimento para conter as lições aprendidas e as etapas a serem executadas para resolver problemas semelhantes no futuro.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Terminologia do Security Incident Response

    Os termos a seguir são usados em Security Incident Response.
    Termo Definição
    Ativo Qualquer incidente de segurança que não esteja no estado encerrado ou cancelado.
    Bloqueio de administrador A capacidade de restringir o acesso Security Incident Response ao pessoal com funções relacionadas à segurança e ACLs.
    Solicitações de segurança de entrada Solicitações enviadas para demandas de segurança de baixo impacto, como solicitar um novo crachá eletrônico.
    Gerenciar atividades pós-incidente Uma revisão das origens e do tratamento de um incidente de segurança. O produto final é um relatório pós-incidente, que documenta todas as ações realizadas e os motivos para realizá-las.
    Tarefas de resposta Tarefas atribuídas a um incidente de segurança para rastrear ações em resposta à ameaça.
    Noções básicas sobre calculadoras de incidentes de segurança Calculadoras usadas para atualizar valores de registro quando condições pré-configuradas são atendidas.
    Mapas de árvore de incidentes de segurança Tipo de gráfico que mostra hierarquicamente os dados de incidentes de segurança na forma de retângulos aninhados.
    Pesquisa de ameaças Uma solicitação enviada do catálogo de incidentes de segurança para verificação de arquivos, URLs e endereços IP em busca de malware.
    Verificação de vulnerabilidade Uma solicitação iniciada no formulário de Incidente de segurança para verificar os recursos afetados (servidores, computadores e outros itens de configuração) em busca de vulnerabilidades.