Administration Gestion des incidents de sécurité majeurs

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Planifiez et configurez votre implémentation Gestion des incidents de sécurité majeurs.

    Vous pouvez configurer les aspects suivants de l’administration Gestion des incidents de sécurité majeurs :

    Activer la proposition, la promotion et la liaison des incidents de sécurité majeurs

    Permettez aux utilisateurs de décider de proposer ou de promouvoir des incidents en tant qu’incidents de sécurité majeurs. Suivez facilement tous les incidents liés à un incident de sécurité majeur en permettant de lier les incidents de sécurité à l’incident parent ou enfant.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Permettez aux utilisateurs de proposer un incident de sécurité pour un incident de sécurité majeur en cochant la case Proposer un incident de sécurité majeur dans la section Actions de l’espace de travail SIR/VR.
    3. Autorisez les utilisateurs à promouvoir un incident de sécurité en incident de sécurité majeur en cochant la case Promouvoir en incident de sécurité majeur .
    4. Activez la liaison d’un incident de sécurité à un incident de sécurité majeur afin qu’ils puissent être suivis ensemble en cochant la case Lier à l’incident de sécurité majeur .
    5. Sélectionnez Mettre à jour.

    Marquer les incidents de sécurité comme incidents de sécurité majeurs

    Balisez ou étiquetez les incidents de sécurité ou les enregistrements vulnérables en incident de sécurité majeur lorsque l’incident est proposé ou promu. Si un incident de sécurité est proposé, l’enregistrement d’incident est désigné comme candidat à un incident de sécurité majeur. Lorsqu’une sécurité est promue, l’enregistrement d’incident est appelé Incident de sécurité majeur avec l’état Accepté.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Cochez la case Activer les étiquettes d’affichage pour étiqueter le candidat d’incident proposé comme incident de sécurité majeur en sélectionnant le champ de recherche Nom de l’étiquette : proposer en tant que candidat et sélectionnez Candidat d’incident de sécurité majeur dans la section Étiquettes de l’espace de travail SIR/VR .
    3. Cochez la case Activer les étiquettes d’affichage pour étiqueter le candidat à l’incident promu comme incident de sécurité majeur en sélectionnant le champ de recherche Nom de l’étiquette - Promotion en incident de sécurité majeur et en sélectionnant Incident de sécurité majeur dans la section Étiquettes de l’espace de travail SIR/VR .
    4. Sélectionnez Mettre à jour.

    Configurer des étiquettes pour les incidents de sécurité majeurs

    Configurez les étiquettes dans Major Security Incident Management pour créer des étiquettes personnalisées et filtrer les activités et tâches de collaboration externes dans le flux d’activité. Les différents types d’étiquettes implémentées sont les étiquettes d’état et les étiquettes de chronologie.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Cochez la case Activer les étiquettes d’affichage pour activer l’étiquetage des différents états d’incident tels que Analyse, Contenir, Éradiquer, Récupérer, Réviser, Événement de chronologie dans la section Étiquettes de l’espace de travail MSIM (Afficher dans les activités et les tâches de collaboration).
    3. Sélectionnez Mettre à jour.

    Configurer des étiquettes pour les incidents de sécurité majeurs

    Configurez différents types d’étiquettes pour mieux filtrer et indiquer les états des incidents. Les étiquettes d’incidents de sécurité majeurs offrent la flexibilité d’étiqueter les activités et les tâches de collaboration des enregistrements d’incidents.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Vous pouvez sélectionner ou désélectionner les étiquettes à l’aide de l’icône des étiquettes disponible dans la section Flux d’activité de la section Organisateur de collaboration et de tâches de l’espace de travail MSIM.

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Étiquettes MSI.
    2. Cliquez sur Nouveau pour créer une étiquette.
    3. Remplissez le formulaire avec le nom de l’étiquette et la couleur de l’étiquette.
    4. Cliquez sur Créer une étiquette.
    5. Dans le cadre du système de base, les étiquettes suivantes sont configurées pour chaque état d’incident et vous ne pouvez pas modifier le nom ou la couleur de l’étiquette :
      • Analyse
      • Contenir
      • Éradiquer
      • Revue
      • Récupérer
      • Événement de chronologie
      Remarque :
      Vous pouvez modifier les étiquettes personnalisées et leurs propriétés.

    Configurer des catégories de chronologie pour les incidents de sécurité majeurs

    Configurez et affectez des catégories de chronologie telles que Menace, Réponse ou Personnalisé à vos incidents de sécurité majeurs à l’aide de la section Chronologie de l’onglet Vue d’ensemble.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Catégories de chronologie.
      Les catégories de chronologie suivantes sont fournies dans le cadre du système de base :
      • Sur mesure.
      • Réponse.
      • Menace.
    2. Pour modifier une catégorie d’événement de chronologie existante, procédez comme suit :
      1. Sélectionnez une catégorie d’événement de chronologie dans la liste.
      2. Vous pouvez modifier le nom de la catégorie d’événement de chronologie.
      3. Vous pouvez modifier la couleur de l’événement et sélectionner une autre couleur pour votre catégorie d’événement de chronologie.
      4. Sélectionnez Mettre à jour.
    3. Pour créer une catégorie d’événement de chronologie, procédez comme suit :
      1. Sélectionnez Nouveau.
      2. Dans le champ Nom, saisissez un nom pour la catégorie d’événement de chronologie.
      3. Dans le champ Couleur de l’événement, choisissez une couleur pour la catégorie de chronologie de l’événement à l’aide de la liste déroulante.
      4. Sélectionnez Soumettre.

    Définir les préférences de notification pour MSIM

    Automatisez le processus de notification par e-mail et notifiez les utilisateurs lorsqu’un incident de sécurité est proposé ou promu au rang de candidat à un incident de sécurité majeur.

    Rôle requis : sn_msi.workspace_admin.

    Les notifications ne sont déclenchées que lorsqu’un incident de sécurité est proposé et envoyées à tous les utilisateurs et groupes configurés dans la liste de notifications. Par défaut, la notification par e-mail est reçue par l’utilisateur qui a proposé l’incident de sécurité en tant que candidat à l’incident de sécurité majeur.

    Notification : incident de sécurité proposé (SI) en tant qu’incident de sécurité majeur (MSI)

    Qui recevra :

    • Par défaut Réviseurs MSI Le nom de groupe est créé et tout utilisateur ajouté à ce groupe a le privilège d’être Gestionnaire MSIM et les utilisateurs qui appartiennent à ce groupe recevront les e-mails de notification.
    • Tout utilisateur spécifique ajouté à Utilisateurs list recevra également les e-mails de notification.

    Ce qu’il contiendra :

    Si vous souhaitez modifier le contenu de l’e-mail, tel que le corps de l’e-mail, qui inclut l’objet ou le message HTML, vous devez disposer du rôle d’administrateur système auquel vous avez accès ou être affecté en tant qu’administrateur système et non en tant qu’administrateur MSI.

    Notification SI proposée à MSI
    Notification : incident de sécurité promu (SI) en tant qu’incident de sécurité majeur (MSI)

    Cette notification est déclenchée lorsqu’un incident de sécurité est promu et lorsque l’explorateur de fichiers et Microsoft Teams la structure de base sont créés. Par défaut, cette notification est reçue par l’utilisateur qui a promu l’incident de sécurité en incident de sécurité majeur.

    Qui recevra

    • Par défaut, un Groupe par nom Répondeur MSI est créé et tout utilisateur ajouté à ce groupe aura le privilège d’avoir Répondeur MSIM et tous les utilisateurs qui se trouvent dans ce groupe recevront l’e-mail de notification.
    • Tout utilisateur spécifique ajouté à Utilisateurs list recevra également les e-mails de notification.
    Ce que cela contiendra

    Si vous souhaitez modifier le contenu de l’e-mail, tel que le corps de l’e-mail, qui inclut l’objet ou le message HTML, vous devez disposer du rôle d’administrateur système d’un accès ou être affecté en tant qu’administrateur système et non en tant qu’administrateur MSI.

    SI de notification promu au statut de MSI

    Configurer les activités de fermeture MSI

    Définissez des actions qui se produiront automatiquement lors de la fermeture d’un incident de sécurité majeur. Renforcez la sécurité en archivant et en supprimant automatiquement l’accès aux dossiers contenant des informations de résolution.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Archiver les communications de messagerie instantanée liées à la résolution de l’incident en sélectionnant la case à cocher Archiver les canaux de collaboration dans la section Actions de fermeture automatisées.
    3. Supprimez les dossiers contenant des documents liés à la résolution de l’incident en sélectionnant la case à cocher Supprimer les dossiers de collaboration .
    4. Sélectionnez Mettre à jour.