Autres tâches de configuration supplémentaires Réponse aux incidents de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 10 minutes de lecture

    • Si vous êtes un administrateur du domaine global, vous configurez la manière dont Réponse aux incidents de sécurité il gère les opérations quotidiennes.

    Avant de commencer

    Rôle requis : sn_si.admin
    Remarque :

    Ces options sont standard à de nombreuses applications de gestion des services et, à ce titre, elles utilisent la terminologie de gestion des services. Par exemple, la demande est utilisée pour la tâche principale (c’est-à-dire l’incident de sécurité) et la tâche est utilisée pour les sous-tâches ou les tâches de réponse.

    Si vous êtes un administrateur d’un domaine inférieur au domaine global, vous pouvez afficher l’écran Configurations, mais vous ne pouvez pas modifier les paramètres.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Administration > Configuration.
      Les options de configuration des applications sont organisées sous ces onglets :
      • L'onglet Processus de gestion contient des options pour configurer le cycle de vie de la demande, créer des catalogues et des demandes et configurer des notifications.
      • L'onglet Affectation contient des options pour configurer l'affectation manuelle et automatique.
      • L'onglet Compléments contient des options pour l'activation de la base de connaissances, des documents gérés et des activités de tâches.
    2. Renseignez les champs de l’onglet Processus business .
      Tableau 1. Écran Configuration — Onglet Processus de gestion
      Champ Description
      Cycle de vie.
      Des notes de travail sont requises pour fermer ou annuler une demande ou une tâche Activez cette option pour exiger de l’utilisateur qu’il saisisse des notes de travail avant qu’un incident de sécurité ou une tâche de réponse puisse être fermé ou annulé.
      Copier les notes de travail de la tâche dans la demande Activez cette option pour synchroniser les notes de travail de tâche de réponse avec les notes de travail sur l’incident de sécurité. Ainsi, lorsque des notes de travail sont ajoutées à la tâche, les mêmes notes de travail s’affichent dans l’incident de sécurité parent.
      Catalogue et création de demande
      Créer ou mettre à jour les demandes par e-mail entrant Activez cette option pour créer ou mettre à jour des incidents de sécurité à partir d’e-mails entrants.
      Les demandes sont créées avec Sélectionnez le catalogue ou le formulaire standard pour activer le catalogue et activer la publication automatique des modèles d’incidents de sécurité dans le catalogue.

      Sélectionnez le formulaire classique uniquement pour désactiver le catalogue et désactiver la publication automatique des modèles d’incidents de sécurité dans le catalogue.
      Les modèles créent un élément de catalogue dédié Activez cette option pour activer la publication automatique des éléments de catalogue pour l’application.
      Notifications
      Pour une demande ou une tâche, lorsque le champ sélectionné change, envoyer une notification aux destinataires Vous pouvez configurer des notifications à envoyer à des destinataires spécifiques lorsque les champs sélectionnés dans les incidents de sécurité et les tâches de réponse changent.
      1. Dans Table, sélectionnez Demande (incident de sécurité ) ou Tâche (tâche de réponse).
      2. Dans Champ, sélectionnez le champ à utiliser pour générer des notifications. Lorsqu’une modification est apportée au champ sélectionné, une notification est envoyée aux destinataires identifiés.
      3. Dans Destinataires, sélectionnez un ou plusieurs destinataires.
      4. Si vous sélectionnez un utilisateur spécifique ou un groupe spécifique, vous êtes invité à sélectionner un utilisateur ou un groupe.
      5. Pour définir d’autres notifications à l’aide d’autres champs ou destinataires, répétez les étapes précédentes pour l’ensemble suivant de paramètres de notification.
      6. Pour supprimer une notification, cliquez sur l’icône du symbole de suppression des notifications située à droite de la notification.
    3. Cliquez sur l’onglet Affectation et remplissez les champs.
      Tableau 2. Écran de configuration : onglet Affectation
      Champ Description
      Méthode d'affectation des demandes Sélectionnez la méthode d’affectation des incidents de sécurité :
      • Utilisation de l’affectation automatique : les incidents de sécurité sont automatiquement affectés.
      • Utilisation d’un workflow : les incidents de sécurité sont affectés par le workflow sélectionné.
      • manuellement : les incidents de sécurité sont affectés manuellement.
      Utilisez ce workflow pour affecter des demandes Sélectionnez le workflow pour la répartition des incidents de sécurité. Ce champ s’affiche lorsque vous utilisez un workflow sélectionné dans la liste Méthode d’affectation pour les demandes .
      Méthode d'affectation des tâches Sélectionnez la méthode d’affectation des tâches de réponse :
      • à l’aide de l’affectation automatique : les tâches de réponse sont automatiquement affectées.
      • Utilisation d’un workflow : les tâches de réponse sont affectées par le workflow sélectionné.
      • Manuellement : les tâches de réponse sont affectées manuellement.
      Utilisez ce workflow pour affecter des tâches Sélectionnez le workflow pour l’affectation des tâches de réponse. Ce champ s’affiche lorsqu’un workflow est sélectionné dans la liste Méthode d’affectation des tâches .
      Affectez les demandes ou les tâches en fonction des zones de couverture des groupes d'affectation Activez cette option pour limiter l’affectation des incidents de sécurité et des tâches de réponse aux groupes qui couvrent l’emplacement de la tâche.
      Ordonnancement
      La sélection automatique d’agents tient compte du fuseau horaire pour les tâches Activez cette option pour tenir compte du fuseau horaire de l'agent lors de l'affectation d'une tâche. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      Facteurs supplémentaires
      La sélection automatique d’agents tient compte de leur localisation Activez cette option pour donner la préférence aux agents qui sont plus proches de l’emplacement de la tâche, lors de l’affectation de tâches. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      La sélection automatique d'agents pour des tâches requiert qu'ils aient des compétences Sélectionnez le degré auquel les compétences de l’agent doivent être adaptées à une tâche lors de la détermination de l’affectation automatique.
      • Sélectionnez Tout pour exiger qu’un agent affecté possède toutes les compétences nécessaires pour exécuter la tâche. Un agent qui n’a pas ne serait-ce qu’une seule compétence est éliminé.
      • Sélectionnez-en quelques-uns si vous voulez des agents qui possèdent la plupart des compétences requises pour effectuer la tâche.
      • Sélectionnez Aucun si vous souhaitez affecter automatiquement des agents sans tenir compte des compétences. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      La sélection automatique tente d’affecter le même agent à toutes les tâches d’une demande Activez cette option pour affecter automatiquement toutes les tâches de réponse d’un incident de sécurité au même agent.
    4. Cliquez sur l’onglet Compléments et remplissez les champs.
      Tableau 3. Écran de configuration : onglet Compléments
      Champ Description
      Documentation
      Activer une base de connaissances dédiée Activez cette option pour activer la base de connaissances pour Réponse aux incidents de sécurité.
      Activer les documents gérés Activez cette option pour ajouter une liste connexe aux documents gérés.
      Activer les activités de la tâche Activez cette option pour consigner les interactions et les communications de tâche, telles que les appels téléphoniques et les messages électroniques.
    5. Cliquez sur Enregistrer.

    Verrouiller l’administration de la sécurité

    Pour protéger les enquêtes et préserver la confidentialité des incidents de sécurité, vous pouvez restreindre Réponse aux incidents de sécurité l’accès aux rôles et aux ACL spécifiques à la sécurité. L’accès aux personnes qui ne sont pas des administrateurs de sécurité peut être restreint, sauf si vous leur autorisez expressément l’accès.

    Avant de commencer

    Lorsque l’application est activée, l’utilisateur Réponse aux incidents de sécurité administrateur système se voit accorder le rôle sn_si.admin par défaut. L’administrateur système est le seul administrateur qui peut configurer des groupes et des utilisateurs de sécurité.

    Un rôle de sécurité est requis pour avoir accès aux fonctionnalités et aux Réponse aux incidents de sécurité enregistrements.

    Rôle requis : sn_si.admin

    Procédure

    1. Une fois le Réponse aux incidents de sécurité module d’extension activé, un utilisateur ayant le rôle admin affecte le rôle Administrateur inclus dans le périmètre (sn_si.admin) à au moins un utilisateur.
    2. L’utilisateur ayant le rôle administrateur passe au champ d’application de l’incident de sécurité.
    3. Accédez à la Applications système > Applications.
    4. Cliquez sur Téléchargements.
    5. Saisissez sécurité dans le champ Rechercher des applications .
      Applications système
    6. Cliquez sur Incident de sécurité.
    7. Faites défiler l’écran vers le bas jusqu’aux liens connexes et cliquez sur Supprimer du rôle contenu par l’administrateur.
    8. Déconnectez-vous, puis reconnectez-vous.
      L’utilisateur administrateur ne peut pas accéder à l’application Réponse aux incidents de sécurité .

    Gérer l’accès restreint de l’appelant

    La fonctionnalité d’accès restreint pour l’appelant (RCA) permet à l’administrateur de définir un accès entre périmètres à une application ou à une ressource d’application et d’autoriser ou de refuser les demandes d’accès. Cette fonctionnalité est activée par défaut afin Réponse aux incidents de sécurité que les analystes de sécurité puissent protéger les informations sensibles liées à la sécurité.

    Un champ appelé Accès pour l’appelant a été ajouté à l’ensemble des tables et des includes de script dans Réponse aux incidents de sécurité, et le champ est défini par défaut sur Suivi de l’appelant. Ce paramètre signifie que les périmètres de l’application sont autorisés à accéder aux tables et aux includes de Réponse aux incidents de sécurité script. Toutefois, un enregistrement de suivi est créé pour chaque enregistrement et stocké dans la table Privilège d’accès restreint pour l’appelant [sys_restricted_caller_access].
    Remarque :
    Soyez prudent lorsque vous modifiez les enregistrements de Suivi de l’appelant à Restreint pour l’appelant. Les enregistrements avec cet état ne sont pas accessibles tant qu’un administrateur n’en autorise pas l’accès manuellement. L’administrateur doit accéder à Applications système > Accès restreint à l'application pour l'appelant, localisez la table ou l’include de script pour lequel l’accès a été demandé et faites passer le champ État de Demandé à Autorisé.

    Exécuter des tests de démarrage rapide pour Réponse aux incidents de sécurité

    Valider que Réponse aux incidents de sécurité cela fonctionne toujours après avoir apporté des changements de configuration, tels que l’application d’une mise à niveau ou le développement d’une application. Copiez et personnalisez ces tests de démarrage rapide à effectuer lorsque vous utilisez des données spécifiques à votre instance.

    Les tests de démarrage rapide pour Réponse aux incidents de sécurité nécessitent l'activation du module d'extension Réponse aux incidents de sécurité (com.snc.security_incident) et le chargement des données de démonstration.

    Tableau 4. Tests Réponse aux incidents de sécurité
    Test Description Version
    SIR : créer un incident de sécurité Déterminez si un utilisateur peut créer un incident de sécurité depuis le formulaire d'incident de sécurité. Xanadu
    SIR : créer un incident de sécurité via le catalogue d'incidents de sécurité Déterminez si un utilisateur peut créer un incident de sécurité depuis le catalogue. Xanadu
    SIR : cycle de vie des incidents de sécurité Validez les tâches de réponse du workflow de violation de la politique. Xanadu
    SIR : rechercher des menaces Validez la capacité de recherche des menaces. Xanadu
    SIR : configuration prête à l'emploi des évaluations PIR Utilisez ce test pour valider les évaluations PIR et les configurations du système de base. Xanadu
    SIR : configuration conditionnelle des évaluations PIR

    Vérifiez que les incidents de sécurité correspondant à la règle conditionnelle obligatoire ne sont pas fermés avant que l'évaluation post-incident ne soit terminée.

    Vérifiez que les incidents de sécurité correspondant à la règle conditionnelle facultative peuvent être fermés avant que l'évaluation post-incident ne soit terminée.

    Vérifiez que les évaluations ne sont pas générées pour les incidents de sécurité qui ne correspondent à aucune règle.

    		 Xanadu
    SIR : vérification de l'heure d'exécution PIR Vérifiez que les rapports PIR sont configurés et joints aux incidents de sécurité selon la nouvelle conception. Xanadu
    SIR : vérification de la configuration de l'heure de conception PIR Vérifiez que l'incident de sécurité est mappé au modèle de rapport en fonction de la configuration de l'administrateur. Xanadu
    SIR : lier l'incident de sécurité à un incident de sécurité majeur Liez un incident de sécurité à un incident de sécurité majeur existant et validez les données de l'incident de sécurité repris sur l'incident de sécurité majeur. Xanadu
    SIR : promouvoir l'incident de sécurité comme incident de sécurité majeur Promouvoir un incident de sécurité en tant qu'incident de sécurité majeur et valider les données de l'incident de sécurité déployé jusqu'à l'incident de sécurité majeur. Xanadu
    SIR : proposer un incident de sécurité comme incident de sécurité majeur Proposez un incident de sécurité en tant qu'incident de sécurité majeur et validez les données de l'incident de sécurité déployé jusqu'à l'incident de sécurité majeur. Xanadu
    Vérifier que seuls les membres autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée Vérifiez que seuls les membres autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée. Xanadu
    Vérifier que seuls les groupes autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée Vérifiez que seuls les groupes autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée. Xanadu
    Valider l'accès en lecture Validez l'accès à l'affichage. Xanadu
    Valider l'accès en écriture Validez l'accès en modification. Xanadu