Modèle de workflow d’hameçonnage d’incident de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Hameçonnage - vous permet d’effectuer une série de tâches conçues pour gérer les e-mails de harponnage sur votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Harponnage (harponnage). Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Harponnage
    Modèle de workflow de harponnage

    Procédure

    1. Ouvrez l’incident de sécurité de cette attaque potentielle de spear phishing ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Harponnage (Harponnage).
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse s’affiche. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne soit la création de la tâche de réponse suivante, soit la fin du workflow.
      Tableau 1. Tâches de réponse dans le modèle de harponnage
      Tâche de réponse Action Résultats
      S’agit-il d’une attaque de phishing ? Déterminez s’il s’agit d’une attaque de hameçonnage.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, les tâches suivantes sont exécutées en parallèle :
      • Point de terminaison d’analyse : programme malveillant trouvé ?
      • Mettre à jour le logiciel de protection des e-mails
      • Supprimer l’e-mail d’hameçonnage non lu dans la file d’attente : pour tous les utilisateurs

      Si vous sélectionnez Non, le flux se termine.
      Point de terminaison d’analyse : programme malveillant trouvé ? Après avoir exécuté une analyse, déterminez si un programme malveillant a été détecté.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Supprimer les logiciels malveillants - Réussite ? est exécutée.

      Si vous sélectionnez Non, la tâche Définir l’état sur Revue est exécutée.
      Supprimer les logiciels malveillants - Succès ? Déterminez si le programme malveillant a été supprimé avec succès.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Définir l’état sur Révision est exécutée.

      Si vous sélectionnez Non, la tâche Effacer et réimager est exécutée.
      Effacer et recréer une image Si vous n’avez pas réussi à supprimer le programme malveillant détecté, cette tâche vous demande d’effectuer un nettoyage et une nouvelle image sur les ordinateurs infectés par le programme malveillant. Une fois la tâche terminée, la tâche Définir l’état sur Revue est exécutée.
      Mettre à jour le logiciel de protection des e-mails S’il s’avère qu’il s’agit d’une attaque de phishing, vous êtes invité à mettre à jour votre logiciel de protection des e-mails en conséquence. Lorsque la tâche est terminée, la tâche Définir l’état sur Revue est exécutée.
      Supprimer l’e-mail d’hameçonnage non lu dans la file d’attente : pour tous les utilisateurs Effectuez les étapes nécessaires pour supprimer l’e-mail d’hameçonnage toujours dans la file d’attente pour tous vos utilisateurs. Lorsque la tâche est terminée, la tâche Définir l’état sur Revue est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen.

      La tâche Planifier la formation de sensibilisation à la sécurité est exécutée.
      Planifier une formation de sensibilisation à la sécurité Planifiez une formation pour sensibiliser vos employés à la sécurité.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Lorsque la tâche est terminée, le flux se termine.