Modelo de fluxo de trabalho de reconhecimento de incidente de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • O reconhecimento geralmente é uma etapa preliminar em direção a um novo ataque que busca explorar um dispositivo ou sistema. O modelo Incidente de segurança - Reconhecimento - permite que você execute uma série de tarefas projetadas para lidar com o reconhecimento em sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida como a atividade de reconhecimento. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Atividade de reconhecimento
    Modelo de fluxo de trabalho de reconhecimento

    Procedimento

    1. Abra o incidente de segurança para este possível ataque ou crie um novo incidente de segurança.
    2. Em Categoria, selecione Atividade de reconhecimento.
    3. Salve o registro.
    4. Role para baixo e abra a lista relacionada Tarefas de resposta.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado.
      Tabela 1. Tarefas de resposta no modelo de reconhecimento
      Tarefa de resposta Ação Resultados
      Atividade de reconhecimento verificada? Determine se algum reconhecimento observado foi verificado.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa Identificar sistemas afetados será executada.

      Se você selecionar Não, o fluxo será encerrado.
      Identificar sistemas afetados Determine os sistemas afetados pelo reconhecimento. Quando esta tarefa estiver concluída, a mensagem Permitir reconhecimento para análise de aplicação da lei? tarefa foi executada.
      Permitir reconhecimento para análise de aplicação da lei? Determine se você deseja que o reconhecimento seja analisado por agências de segurança.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa do processo de aplicação da lei será executada.

      Se você selecionar Não, a tarefa de reconhecimento Atualizar sistema(s) para impedir será executada.
      Processo de aplicação da lei Execute o processo de imposição da lei conforme definido pela sua empresa. Quando esta tarefa for concluída, a tarefa de reconhecimento Atualizar sistema(s) para impedir será executada.
      Atualizar sistema(s) para impedir reconhecimento Execute as etapas necessárias para atualizar os sistemas afetados pelo reconhecimento. Quando esta tarefa for concluída, a tarefa Definir estado para revisão será executada.
      Definir estado como revisão Nenhuma ação necessária. O Estado do incidente de segurança é alterado automaticamente para Revisãoe a tarefa de reunião de Lições aprendidas é executada.
      Reunião de lições aprendidas Conduza uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este incidente de reconhecimento.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Quando esta tarefa for concluída, o fluxo será encerrado.