Modèle de workflow d’incident de sécurité à accès non autorisé

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Accès non autorisé - vous permet d’effectuer une série de tâches conçues pour gérer les accès non autorisés à votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Accès non autorisé. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Accès non autorisé
    Modèle de workflow d’accès non autorisé

    Procédure

    1. Ouvrez l’incident de sécurité de cette attaque potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Accès non autorisé.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse s’affiche. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne soit la création de la tâche de réponse suivante, soit la fin du workflow.
      Tableau 1. Tâches de réponse dans le modèle d’accès non autorisé
      Tâche de réponse Action Résultats
      Les informations d’identification de l’utilisateur compromises ? Déterminez si les informations d’identification de l’utilisateur ont été compromises.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, les deux tâches suivantes sont exécutées en parallèle :
      • Un logiciel malveillant ?
      • Désactiver un compte d'utilisateur

      Si vous sélectionnez Non, la tâche Contacter l’utilisateur et déterminer l’intention est exécutée.
      Un logiciel malveillant ? Déterminez si l’accès non autorisé a entraîné l’introduction d’un logiciel malveillant.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Créer un incident de logiciel malveillant est exécutée.

      Si vous sélectionnez Non, la tâche Définir l’état sur révision est exécutée.
      Créer un incident de logiciel malveillant Effectuez les étapes nécessaires pour créer un incident de sécurité pour l’accès non autorisé. Lorsque cette tâche est terminée, la tâche Définir l’état sur révision est exécutée.
      Désactiver un compte d'utilisateur Effectuez les étapes nécessaires pour désactiver le compte utilisateur compromis. Lorsque cette tâche est terminée, la tâche Définir l’état sur révision est exécutée.
      Contacter l’utilisateur et déterminer l’intention Effectuez les étapes nécessaires pour contacter l’utilisateur responsable de l’accès non autorisé et déterminer la raison de la tentative d’accès. Lorsque cette tâche est terminée, la tâche de processus RH est exécutée.
      Processus RH Effectuer les démarches nécessaires pour contacter les ressources humaines afin de mettre en place des mesures disciplinaires si nécessaire. Lorsque cette tâche est terminée, la tâche Définir l’état sur révision est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examiner et le flux se termine.