Incident Management: Proceso

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Flujo de trabajo de administración de incidentes

El módulo Security Analytics Incidents recopila alertas de varios orígenes y ofrece la posibilidad de agruparlas de manera lógica e iniciar un flujo de trabajo de respuesta a incidentes para investigar y corregir los problemas de seguridad que se presenten. El módulo Security Analytics Incidents permite configurar reglas para automatizar la agregación de alertas en incidentes.  Las alertas se normalizan en el sistema a un formato común para ofrecer a los usuarios una vista coherente de los criterios de las reglas, independientemente del origen de datos. Puede generar criterios de consulta en función de los datos de la alerta con la posibilidad de consultar en los campos que son comunes, así como específicos de los orígenes de datos.

El motor de reglas permite agrupar alertas similares juntas en un incidente de manera que el flujo de trabajo de investigación y corrección se pueda compartir en un conjunto de alertas similares. Puede crear reglas que puedan agrupar alertas en incidentes en función de un valor común que comparten para uno o dos atributos (por ejemplo, nombre de host de origen) o si se informan dentro de una ventana de tiempo limitado (por ejemplo, alertas que tienen una diferencia de 4 horas entre ellas).

Si una alerta coincide con una regla, se crea un incidente mediante el uso de los criterios. A medida que se recopilan nuevas alertas, si ya se creó un incidente que coincide con estos criterios, y ese incidente aún no está “en curso”, las nuevas alertas se agregan al mismo incidente.  Si no hay ningún incidente para el valor agrupado (por ejemplo, el nombre de host específico) o la ventana de tiempo, se crea un nuevo incidente, al cual se agregará la alerta. 

Puede tener varias reglas de agregación. Las reglas pueden agrupar alertas en incidentes o impedir que una regla coincida con las alertas; por lo tanto, las reglas se clasifican de arriba abajo y solo la primera regla que coincida con una alerta entrante se usará para incluir esa alerta en un incidente. Los incidentes proporcionan un contexto para las alertas, brindan herramientas para registrar el estado de la investigación y rastrean el avance de la corrección.

Las diversas etapas en el proceso de administración de incidentes son:

  • Revisar alertas
  • Administrar incidentes
  • Automatizar el proceso de administración de incidentes
  • Rastrear la respuesta de los incidentes a través de
    • Interfaz del usuario de Security Analytics
    • un sistema de help desk de terceros
    • administración de vulneraciones de RSA Archer 

Diagrama de flujo de trabajo de administración de incidentes

En la siguiente figura se muestra el proceso de flujo de trabajo de administración de incidentes.

incident_workflow.png

Previous Topic:Incident Management
You are here
Table of Contents > Proceso de administración de incidentes

Attachments

    Outcomes