Playbook para automação de incidentes de segurança secundários
Incidentes de segurança duplicados são categorizados como incidentes de segurança secundários e são acumulados nos incidentes de segurança primários.
O playbook de automação de incidentes de segurança secundários ajuda a reduzir o tempo necessário para investigar e fechar incidentes de segurança duplicados. Este playbook acumula automaticamente artefatos exclusivos específicos do incidente de segurança secundário (observáveis, usuários afetados, ICs) para o incidente de segurança primário.
Pré-requisitos
- sn_si.admin
- flow_designer
Spoke: Instalar Spoke das Operações de segurança (sn_sec_spoke)
Capacidades-chave
O playbook de automação secundária cobre os seguintes recursos:
- Move o incidente de segurança para a fase de Análise.
- Elimina duplicatas e adiciona (acumula) os usuários e ICs afetados ao incidente de segurança primário.
- Adiciona observáveis do incidente secundário ao incidente de segurança primário.
- Encerra ou cancela o incidente de segurança secundário quando o incidente de segurança primário é encerrado.
Capacidades necessárias
Para obter mais informações, consulte a ServiceNow Store.
Experiência do analista de segurança
Para entender como resolver ameaças à segurança passo a passo, consulte Resolver ameaças à segurança com o playbook.
Compreensão mais profunda do playbook de automação de incidentes de segurança secundários com capacidades do Flow Designer
- Faça login como um usuário com as funções sn_si.user e flow_designer.
- Navegar até e clique no playbook de login com falha.
- Faça uma cópia do playbook de automação de incidentes de segurança secundários e faça as modificações necessárias. (Esta é uma etapa opcional. Siga esta etapa somente se você planeja personalizar ou fazer mudanças específicas no fluxo).
- Faça as modificações necessárias de acordo com seus requisitos. (Esta é uma etapa opcional. Siga esta etapa somente se você planeja personalizar ou fazer mudanças específicas no fluxo).
- Ative o playbook.
- Ative o fluxo principal para usar o playbook disponível com o sistema de base.
- Ative o fluxo copiado depois de fazer modificações de acordo com seus requisitos.
- O campo de incidente de segurança primário não está vazio.
- O incidente de segurança primário está no estado Rascunho, Análise, Conter ou Eliminar.
As etapas a seguir orientam você nas ações e tarefas que estão disponíveis no playbook de automação de incidentes de segurança secundários.
- Quando o playbook começar a ser executado, na Etapa 1, se o incidente de segurança estiver no estado Rascunho, ele será atualizado e definido para o estado Análise.
- Nas etapas 2 e 3, os usuários afetados pelo incidente de segurança são recuperados e acumulados para o incidente de segurança primário. Todos os usuários duplicados são eliminados.
- Nas etapas 4 e 5, os itens de configuração associados ao incidente de segurança secundário são recuperados e os ICs exclusivos são acumulados para o incidente de segurança primário.
- Nas etapas 6 e 7, os observáveis associados ao incidente de segurança secundário são recuperados e os observáveis exclusivos são acumulados para o incidente de segurança primário.
- Nas etapas 8 e 9, anotações de trabalho automatizadas são publicadas nos incidentes de segurança primários e secundários, indicando que os usuários, itens de configuração e observáveis afetados foram acumulados do incidente de segurança primário.