Référence de l’assistant de configuration

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 31 minutes de lecture

    • L’assistant de configuration vous guide tout au long des étapes que vous devez effectuer pour configurer le système de Réponse aux incidents de sécurité base. Cette section fournit des informations supplémentaires sur les étapes compliquées pour lesquelles vous pourriez avoir besoin de plus d’explications.

    Création d’une définition de Réponse aux incidents de sécurité processus

    Vous pouvez créer une définition de processus pour définir la manière dont les incidents de sécurité passent d’un état à l’autre. Les définitions de processus permettent aux centres de services et aux utilisateurs finaux de suivre le problème tout au long de son cycle de vie.

    Avant de commencer

    Rôle requis : sn.si_admin

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Administration > Définition de processus.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 1. Création de définitions de processus
      Champ Description
      Nom Nom de l’enregistrement qui décrit le processus codé dans le fichier d’include de script. Le nom est affiché en tant que choix dans la liste Sélecteur de définition de processus .
      Include de script Nom (y compris le préfixe sn_si.) de l’include de script contenant la définition du processus. Le script doit se trouver dans le périmètre de l’application Incident de sécurité (sn_si). Consultez Créer un include de script de définition de processus personnalisé Réponse aux incidents de sécurité pour plus d'informations. Si ce champ ne contient pas de nom d’include de script valide, la définition de ProcessDefinition_NIST_Stateful par défaut est utilisée.
      Description Informations utiles sur le script include.
      Ordre Détermine la position dans la liste de définition du processus.
      Actif Lorsque cette option est cochée, cette définition de processus peut être sélectionnée à partir de la page Sélecteur de définition de processus .
    4. Cliquez sur Envoyer.

    Comprendre la définition du processus de Security Incident Response

    Réponse aux incidents de sécurité Définition du processus Remplace les flux d’états et fournit aux utilisateurs finaux et aux centres de services l’état d’un problème. Une définition de processus permet de suivre le problème tout au long de son cycle de vie. Réponse aux incidents de sécurité est une application de Gestion des services (SM) qui possède son propre ensemble d’états. Les états non valides sont signalés dans le cadre de Sélection du processus.

    Définition de processus de réponse aux incidents de sécurité

    La définition de processus par défaut (état NIST) définit les états d’incident suivants :
    Remarque :
    Les états disponibles varient en fonction de l’état actuel de l’incident.
    Tableau 2. États des définitions de processus d’incidents de sécurité
    État Description
    Brouillon L’initiateur de la demande ajoute des informations sur l’incident de sécurité, mais il n’est pas encore prêt à être traité.
    Analyse L’incident a été affecté et le problème est en cours d’analyse.
    Contenir Le problème a été identifié et le personnel de sécurité s’efforce de le contenir et de limiter les dégâts. Ces actions peuvent inclure la mise hors ligne des serveurs, la déconnexion de l’équipement d’Internet et la vérification de l’existence des sauvegardes.
    Éradiquer Le problème a été maîtrisé et le personnel de sécurité prend des mesures pour le résoudre.
    Récupérer Le problème est résolu et l’état de préparation opérationnelle des systèmes concernés est en cours de vérification.
    Revue L’incident de sécurité est terminé et tous les systèmes ont repris un fonctionnement normal, mais un examen post-incident est encore nécessaire.
    Fermé L’incident est terminé. Toutefois, avant de pouvoir fermer un incident de sécurité, vous devez renseigner les informations de l’onglet Informations sur la fermeture .

    Définitions de processus de tâche d’incident de sécurité

    Les définitions de processus suivantes sont utilisées pour les tâches d’incident de sécurité.

    Tableau 3. États des définitions des processus de tâches
    État Description
    Prêt La tâche est prête à être traitée après avoir été affectée à un agent.
    Affecté La tâche est affectée à un agent.
    En cours de résolution L’agent affecté travaille actuellement sur la tâche.
    Terminé La tâche est terminée.
    Annulé La tâche a été annulée.

    NIST prend en charge les deux modèles suivants :

    • NIST Stateful

      Cette définition de processus permet aux analystes de passer d’un état à un autre dans un ordre séquentiel sans ignorer aucune étape. Par exemple, si l’analyste commence avec l’état Brouillon , l’ordre séquentiel de cette définition de processus est Brouillon>Analyse>Contain>Eradicate>Recover. Ainsi, la définition du processus avec état NIST est unidirectionnelle et permet aux analystes de progresser uniquement vers les états prospectifs.

      Autre exemple, si l’analyste commence par l’état Analyse, l’ordre séquentiel de cette définition de processus est Analyse>Contenir>Éradiquer>Récupérer.

    • NIST Open

      Cette définition de processus permet aux analystes de passer d’un état à un autre, en avant ou en arrière. Par exemple, si l’analyste commence par l’état Analyse , l’ordre de la définition du processus peut être Analyse>Contenir>Éradiquer>Récupérer ou Analyse>Brouillon. Ainsi, la définition du processus NIST Open est bidirectionnelle et permet aux analystes de passer aux états en avant ou en arrière en fonction de leurs besoins.

    Sélection du processus de réponse aux incidents de sécurité

    Réponse aux incidents de sécurité La sélection de processus répertorie les processus avec des états non valides pour les incidents de sécurité et les tâches de réponse.

    Un administrateur peut corriger l’incident ou la tâche à des états valides manuellement ou à l’aide d’un script. Une liste connexe vide (aucun incident ; aucune tâche) indique que chaque tâche active se trouve dans un état valide. Les états disponibles varient en fonction de l’état actuel de l’incident. Pour plus d'informations, consultez Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus.

    Sélectionner une définition de Réponse aux incidents de sécurité processus

    Vous pouvez sélectionner la définition de processus à utiliser pour les états appropriés pour les incidents de sécurité et les tâches de réponse de votre entreprise.

    Avant de commencer
    Rôle requis : admin et sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Procédure
    1. Accédez à la Tout > Réponse aux incidents de sécurité > Administration > Sélection du processus.
    2. Cliquez sur l’icône de recherche pour répertorier les définitions de processus disponibles.
      Sélecteur de définition de processus
    3. Sélectionnez une définition de processus.
    4. Cliquez sur Mettre à jour.

    Créer un include de script de définition de processus personnalisé Réponse aux incidents de sécurité

    Créez un script de définition de processus personnalisé pour les états appropriés aux incidents de sécurité et aux tâches de réponse de votre entreprise.

    Avant de commencer
    Rôle requis : sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Le sn_si. Le script principal ProcessDefinition contrôle les définitions de processus. La définition de processus détermine quelle définition est utilisée (à l’aide de la sélection de processus). Il appelle le fichier d’include de script approprié pour déterminer les états initiaux et les transitions pour les incidents de sécurité et les tâches de réponse.
    Procédure
    1. Accédez à la Tout > Définition du système > Includes de script.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 4. Création de définitions de processus
      Champ Description
      Nom Nom de cet include de script.
      Nom d'API Créé sur la base du nom de l’include de script.
      Client joignable Met l’include de script à la disposition des scripts clients, des filtres de liste et de rapport, des qualificatifs de référence ou, si spécifié, dans le cadre de l’URL.
      Application Incident de sécurité
      Accessible depuis Choisissez Ce périmètre de l’application uniquement .
      Actif Lorsque cette option est cochée, cet include de script peut être sélectionné à partir de la page Définition du processus .
      Description Informations utiles sur le script include.
      Script Définit le script côté serveur à exécuter lorsqu’il est appelé à partir d’autres scripts.

      Le script doit définir une seule classe JavaScript ou une fonction globale. Le nom de la classe ou de la fonction doit correspondre au champ Nom.

      Pour en savoir plus sur le contenu des scripts, reportez-vous à la section Script include de définition de processus.
      Formulaire Script Include de définition de processus
    4. Cliquez sur Envoyer.
    Script include de définition de processus

    Le script include de définition de processus fournit des méthodes pour définir une définition de processus.

    Implémentez les constantes, les attributs, les tableaux et les appels de méthode décrits ici pour personnaliser un include de script de définition de processus.

    Où l’utiliser ?

    Utilisez cet include de script pour créer une définition de processus.

    Corps d’include de script
    Le corps du script include est composé de trois sections :
    • Constantes : définitions de l’état initial
    • Incident de sécurité et tâche de réponse : tableaux de définitions de processus
    • Appels de méthode : Récupération d’informations
    Constantes

    Les constantes sont utilisées pour définir les états initiaux des incidents de sécurité et des tâches de réponse.

    L’utilisation de constantes est facultative mais encouragée pour la lisibilité. Par exemple :
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Qui sont ensuite utilisés par les méthodes suivantes :

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    L’ensemble de constantes suivant définit les états des incidents de sécurité et des tâches de réponse.

    Chaque tableau contient également la définition des états disponibles lorsque l’incident ou la tâche se trouve dans un état spécifique.

    Par exemple :
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    L’exemple est un tableau d’objets. Chaque objet définit un état et des états de transition possibles.

    L’ordre de l’objet de l’état détermine l’ordre souhaité pour le flux.

    Lorsque la tâche est à l’état « Brouillon » (valeur 1), les états possibles sont : 1 (Brouillon, qui n’est pas un changement) et 10 (Prêt, l’étape suivante du processus).

    Il n’y a pas de limite au nombre de transitions en dehors d’un état. Les états « Fermé terminé » et « Annulé » sont des états finaux et n’ont donc aucune transition d’état possible.

    L’ordre des attributs dans l’objet n’a pas d’importance. Si cela rend la définition plus claire, mettez l’étiquette en premier.

    Attributs
    Les attributs requis dans un objet de définition d’état sont les suivants :
    • state : valeur numérique de l’état
    • Étiquette : texte lisible par l’homme associé à l’état
    • Choix : tableau de valeurs d’état vers lesquelles l’état peut effectuer la transition (détermine le contenu de la liste déroulante d’état)
    Les attributs facultatifs sont les suivants :
    • obligatoire : liste des ID de champs qui deviennent obligatoires dans cet état
    • readonly : liste des ID de champs qui passent en lecture seule dans cet état
    • visible : liste des ID de champs qui deviennent visibles dans cet état
    • notmandatory : liste des ID de champs qui deviennent non obligatoires dans cet état
    • notvisible : liste des ID de champs qui ne seraient plus visibles dans cet état
    Remarque :

    Si des attributs facultatifs sont utilisés, il est de la responsabilité de l’auteur de s’assurer que les champs sont rendus visibles/invisibles, obligatoires/non obligatoires, visibles/masqués ou en lecture seule de manière appropriée entre les états.

    Par exemple, le masquage d’un champ dans un état ne le rend pas visible dans un autre état ultérieurement, sauf si l’attribut « visible » est utilisé.

    Tableaux de définitions de flux de processus

    Pour définir les informations affichées dans le formateur de flux de processus (la barre en haut des formulaires Incident de sécurité et Tâche de réponse), le système a besoin d’informations sur ce qu’il faut afficher pour chaque état.

    Par exemple :
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Le tableau TASK_PF est une collection d’étiquettes, de conditions et de descriptions utilisées pour déterminer le texte affiché dans la barre du formateur de processus (y compris l’ordre et l’activité).

    Dans l’exemple, le texte « Prêt » est le deuxième élément affiché. Il est mis en surbrillance lorsque la tâche satisfait à la condition 'state=10^EQ'.

    Lorsque le pointeur pointe sur le texte, la description « La tâche Réponse aux incidents de sécurité est prête à être affectée » s’affiche.

    Remarque :

    Les états peuvent être combinés en un seul état du formateur.

    Dans l’exemple, les états « Fermé terminé » et « Annulé » s’affichent tous deux comme « Fermé » dans la barre supérieure.

    Appels de méthode
    Les méthodes suivantes doivent être présentes dans l’include de script, car elles sont utilisées par sn_si. Définition du processus :
    Type de retour Résumé de la méthode Description
    Chaîne getInitialIncidentState : function() renvoyer la valeur numérique de l’état d’incident initial
    Chaîne getInitialTaskState : fonction() : renvoyer la valeur numérique de l’état de la tâche initiale
    Tableau de chaîne getIncidentStates : function() : renvoyer le tableau de l’état de l’incident
    Tableau de chaîne getTaskStates : fonction() : renvoyer le tableau de l’état de la tâche
    Tableau d’objets getIncidentProcessFlows : function() : Renvoyer le tableau de définition de flux de processus d’incident
    Tableau d’objets getTaskProcessFlows : function() : Renvoyer le tableau de définition du flux de processus de tâche

    L’ensemble suivant de méthodes est appelé chaque fois qu’un incident ou une tâche est mis à jour et permet d’entreprendre des actions sur des transitions de changement spécifiques.

    Type de retour Résumé de la méthode Description
    nul performIncidentStateChange : fonction (actuelle, précédente) Dans les exemples, cette méthode est utilisée pour définir des valeurs liées à SM et s’assurer qu’un incident sort de l’état « Brouillon » une fois qu’une personne lui est affectée.
    nul performTaskStateChange : fonction (actuelle, précédente) Dans l’exemple, cette méthode est utilisée pour mettre à jour les horodatages (lors de l’affectation et de la fermeture) et faire passer la tâche de « Prêt » à « Affecté » une fois le champ assigned_to renseigné.
    Les mêmes actions effectuées par ces deux méthodes peuvent être accomplies à l’aide d’une règle métier. En les définissant dans l’include de script, il est plus facile de changer les définitions de processus.

    Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus

    Un administrateur peut corriger l’incident ou la tâche de sécurité sur des états valides, manuellement ou à l’aide d’un script. Les états disponibles varient en fonction de l’état actuel de l’incident.

    Avant de commencer
    Rôle requis : administrateur
    Pourquoi et quand exécuter cette tâche
    Une fois que vous avez changé de définition de processus, il est possible que la nouvelle définition ne prenne pas en charge certains des anciens états. Pour corriger les états orphelins de l’incident ou de la tâche, vous pouvez modifier votre définition de processus, modifier votre script include ou ouvrir manuellement chaque incident ou tâche pour mettre à jour l’état. Généralement, la mise à jour de l’état (qui peut être effectuée en masse) est la solution la plus simple.

    Pour modifier les états en bloc, procédez comme suit :

    Procédure
    1. Accédez à la Tout > Sélection du processus.
    2. Mettez en surbrillance le champ État des incidents ou des tâches que vous souhaitez modifier.
    3. Double-cliquez sur le champ État dans le premier enregistrement, sélectionnez le nouvel état, puis cliquez sur la coche verte ( coche verte) pour terminer la modification.
      Exemple de définition corrigée
    4. Cliquez sur Mettre à jour.

    Créer un groupe d’incidents de sécurité

    Définissez un groupe d’incidents de sécurité et affectez-lui les rôles et les utilisateurs appropriés.

    Avant de commencer

    Rôles requis :
    • Si vous disposez du rôle user_admin, vous pouvez créer des groupes d’affectation d’incident de sécurité.
    • Si vous disposez du rôle sn_si.admin, vous pouvez créer et modifier des groupes d’affectation d’incident de sécurité.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs d’un groupe héritent les rôles du groupe. Il n’est donc pas nécessaire d’affecter les rôles à chaque utilisateur séparément.

    Il est judicieux de créer autant de groupes que nécessaire dans votre organisation. Il est également recommandé de créer un groupe pour les administrateurs et de n’affecter le rôle administrateur qu’à ce groupe.

    Procédure

    1. Accédez à la Tout > Administration utilisateurs > Groupes ou Incident de sécurité > Configuration > Groupes.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Remarque :

      Pour plus d’informations, consultez Créer un groupe d’utilisateurs.

    4. Assurez-vous de sélectionner le type d’incident de sécurité pour ce groupe.
      1. Si le champ Type n’est pas visible, configurez le formulaire pour l’ajouter.
      2. Cliquez sur l'icône de verrouillage à côté du champ Type.
      3. Cliquez sur l’icône de recherche de référence ( icône de recherche)
      4. Recherchez et sélectionnez le type d’incident de sécurité .
    5. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
    6. Dans la liste connexe Rôles , ajoutez les rôles que chaque membre de ce groupe reçoit.
      Par exemple, si vous créez un groupe pour Réponse aux incidents de sécurité les membres de l’équipe, ajoutez sn_si.analyst. Si vous créez un groupe pour Réponse aux incidents de sécurité les administrateurs, ajoutez sn_si.admin.
    7. Dans la liste connexe Membres du groupe , ajoutez des utilisateurs à ce groupe.
    8. Cliquez sur Mettre à jour.

    Créer un groupe de calculateurs d’incident de sécurité

    Les groupes de calculateurs d’incident de sécurité sont utilisés pour regrouper les calculateurs.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Configuration > Groupes de calculateurs d'incidents de sécurité.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Nom du calculateur d’incident de sécurité.
      Application L'application qui contient l'enregistrement.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité est exécuté Un calculateur avec une entrée d’ordre de 100 s’exécute avant un calculateur avec une entrée d’ordre de 200.
      Description Description de ce groupe de calculateurs.
      Créé par Entrer le nom de l’utilisateur qui a créé
    4. Cliquez sur Envoyer.

    Créer un calculateur d’incident de sécurité

    Les calculateurs d’incident de sécurité vous permettent de calculer la gravité d’un incident de sécurité en fonction de formules prédéfinies. Vous pouvez définir vos propres calculateurs d’incident de sécurité, selon les besoins.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Configuration > Groupes de calculateurs d'incidents de sécurité.
    2. Cliquez sur le nom du groupe pour lequel vous souhaitez créer un calculateur, ou vous pouvez créer un groupe de calculateurs.
    3. Cliquez sur Nouveau.
    4. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Nom du calculateur d’incident de sécurité.
      Groupe de calculateurs Nom du groupe auquel ce calculateur appartient.
      Remarque :
      La création ou la modification du groupe de calculateurs devient disponible une fois que vous avez entré un nom et une table.
      Table

      Sélectionnez la table à utiliser pour ce calculateur.

      Lorsque vous ajoutez des calculateurs à des tables autres que Vulnérabilité [sn_vul_vulnerability] et Élément vulnérable [sn_vul_vulnerable_item], vous devez ajouter des règles métier et des actions d’interface utilisateur à ces tables. Pour voir des exemples :
      • Accédez à la Définition du système > Règles métieret localisez la règle métier Calculer la gravité dans la table Élément vulnérable [sn_vul_vulnerable_item].
      • Accédez à la Interface utilisateur du système > Actions d'interface utilisateuret localisez l’action d’interface utilisateur Calculer la gravité dans la table Élément vulnérable [sn_vul_vulnerable_item].

      En outre, le rôle d’administrateur de vulnérabilité doit disposer de toutes les options de lecture, d’écriture (ou save_as_template) sur n’importe quelle table utilisée par un calculateur pour voir correctement les valeurs à appliquer au modèle.
      Application Application incluse dans le périmètre à laquelle le calculateur appartient.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité est exécuté. Un calculateur avec une entrée d’ordre de 100 s’exécute avant un calculateur avec une entrée d’ordre de 200.
      Actif Allumez ou éteignez la calculatrice.
      Description Description de ce calculateur.
    5. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      Les onglets Conditions et Valeurs à appliquer s’affichent .
    6. Renseignez les champs de l’onglet Conditions comme il convient.
      Champ Description
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créez un nouveau groupe de filtres pour définir les critères du calculateur.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un calculateur.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser des groupes de filtres .
      Utiliser une condition avancée Cochez cette case pour indiquer qu’une condition de script est utilisée pour déterminer quand ce calculateur est appliqué. Lorsque vous cochez la case, un champ de scripting de condition avancée s’affiche.

      Si vous avez coché la case Utiliser un groupe de filtres , ce champ est masqué.

      Remarque :
      Avant de définir des conditions avancées et d’écrire des scripts pour déterminer quand les calculateurs d’incident de sécurité sont appliqués, revenez à la liste des calculateurs d’incident de sécurité. Explorez les enregistrements de calculateur fournis avec le système de base.
      Condition Définit les conditions de filtre de base pour déterminer si le calculateur est utilisé.

      Si vous avez coché les cases Utiliser le groupe de filtres ou Utiliser des conditions avancées , ce champ est masqué.
    7. Cliquez sur l’onglet Valeurs à appliquer et renseignez les champs du formulaire comme il convient.
      Vous avez le choix de créer un script pour définir les valeurs à appliquer au calcul ou de définir un modèle basé sur les champs de la table sélectionnée.
      Champ Description
      Utiliser des valeurs de script Cochez cette case pour définir des valeurs de champ avec un script.
      Valeurs de script Définit les valeurs auxquelles appliquer les calculs.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser les valeurs de script.
      Modèle Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer. Sélectionnez les champs et les valeurs que vous souhaitez utiliser pour le calculateur.
    8. Lorsque vous avez rempli toutes les entrées, cliquez sur Soumettre.

    Comprendre les calculateurs d’incidents de sécurité

    Les calculateurs d’incident de sécurité sont utilisés pour mettre à jour les valeurs d’enregistrement lorsque les conditions prédéfinies sont remplies. Les calculateurs sont regroupés en fonction des critères utilisés pour déterminer comment les enregistrements sont mis à jour.

    Le Réponse aux incidents de sécurité système de base inclut les groupes de calculateurs d’incident de sécurité et les calculateurs suivants. Au sein de chaque groupe, c'est le premier calculateur qui correspond aux conditions qui est exécuté.

    Tableau 5. Calculateurs d’incident de sécurité dans le système de base
    Nom du groupe du calculateur d’incident de sécurité Calculatrices incluses dans le groupe Description
    Impact sur l'entreprise Regrouper à partir des calculateurs de gravité Ce calculateur délègue au calculateur de criticité de sécurité qui détermine la criticité en pondérant les valeurs d’autres champs.
    Gravité Impact sur l'entreprise Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de conditions simple.
    Service critique affecté Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’élément de configuration de l’incident de sécurité est associé à un service aux entreprises hautement critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Changements de services critiques Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’incident de sécurité répond aux conditions, un script s’exécute pour définir les niveaux auxquels les champs sont élevés. Si l’élément de configuration de l’incident de sécurité est associé à un service aux entreprises très critique ou quelque peu critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés tels que définis par le calculateur.
    Vecteurs d’attaques multiples Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de conditions simple.

    Si l’élément de configuration de l’incident de sécurité est associé à des vecteurs d’attaque par le Web, la messagerie électronique et l’emprunt d’identité, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Définir la priorité avec la catégorie et les services Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.
    La priorité de l’incident de sécurité est définie sur 1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a des services affectés associés et l’un d’entre eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    Remarque :
    Ce calculateur est disponible dans le système de base avec le niveau tarifaire Opération de sécurité de démarrage.
    Définir la priorité avec les observables Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.
    La priorité de l’incident de sécurité est définie sur1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a des services affectés associés et l’un d’entre eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    • L’un des observables ou indicateurs associés a un nombre de perceptions qui dépasse deux observations avec des indicateurs actifs (c’est-à-dire que les observables ou les indicateurs sont confirmés comme étant mauvais à partir de plusieurs sources).
    Remarque :
    Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Opération de sécurité avancée et que vous activez le module d’extension Flux de menaces.
    Criticité de l'utilisateur Obtenir la criticité de l'utilisateur Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de conditions simple.

    Ce calculateur de gravité entraîne le passage de la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est remplacé par Finances.
    Obtenir la criticité du groupe d'utilisateurs Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.

    Ce calculateur de gravité fournit un exemple de calculateur qui s’exécute sur les données d’une liste connexe.

    Calculateurs de gravité

    Lorsque vous créez un incident de sécurité, les champs Score de risque, Impact sur l’entreprise et Priorité contiennent des valeurs par défaut. Lorsque vous enregistrez l’incident, une règle métier valide automatiquement les informations contenues dans l’incident de sécurité par rapport aux conditions définies dans chacun de vos calculateurs de gravité actifs. Ils sont validés un calculateur de sécurité à la fois, dans l’ordre défini par le champ Ordre de chaque calculateur. Si les informations de l’incident de sécurité correspondent aux conditions définies dans l’un des calculateurs, les valeurs des champs de gravité sont mises à jour en conséquence des règles définies dans le calculateur.

    Par exemple, supposons que vous créez un incident de sécurité pour un CI affecté et que le CI est hautement critique. Lorsque l’incident de sécurité est enregistré, les informations de CI sont comparées aux conditions définies dans les calculateurs de gravité. Lorsque l’incident de sécurité est validé par rapport au calculateur de gravité affectée par le service critique , les champs de gravité sont automatiquement mis à jour et un message similaire au suivant apparaît en haut de l’incident de sécurité.

    Messages en haut de l’incident de sécurité

    Vous pouvez utiliser ces calculateurs de gravité tels quels ou vous pouvez les modifier pour mieux répondre aux besoins de votre entreprise. Par exemple, si vous souhaitez identifier les menaces Web et e-mail spécifiques à la business unit Finance, vous pouvez modifier les conditions du calculateur de vecteurs d’attaques multiples :
    • [Vecteur d’attaque] [contient] [Web]
    • [Vecteur d’attaque] [contient] [Courriel]
    • [Unité business] [contient] [Finances]

    Vous pouvez également mettre à jour les valeurs de gravité d’un incident de sécurité existant à tout moment en ouvrant l’enregistrement et en cliquant sur le lien connexe Calculer la gravité .

    Calculateurs de score de risque d’incident de sécurité

    Les calculateurs Définir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer un score de risque pour un incident de sécurité.

    Calculateurs de criticité de l’utilisateur

    Les deux calculateurs du groupe de criticité de l’utilisateur (Obtenir la criticité de l’utilisateur et Obtenir la criticité du groupe d’utilisateurs) fournissent des exemples de la façon dont vous pouvez piloter la criticité en fonction de critères définis dans un enregistrement utilisateur ou en fonction du groupe auquel un utilisateur appartient.

    Ils peuvent être modifiés selon les besoins, ou de nouveaux calculateurs de criticité utilisateur peuvent être créés.

    Le calculateur Obtenir la criticité de l’utilisateur entraîne le passage de la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est remplacé par Finances.

    Le calculateur de criticité Obtenir un groupe d’utilisateurs entraîne le passage de la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque l’utilisateur est ajouté au groupe de base de données .
    Remarque :
    Obtenir la criticité du groupe d’utilisateurs est un exemple de calculateur qui s’exécute sur les données d’une liste connexe. Si vous souhaitez ajouter d’autres groupes pour initier un changement de criticité, ajoutez une liste de sys_ids de groupe séparés par des virgules dans la première ligne du script. Exemple : var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].

    Calculs du score de risque d’incident de sécurité

    Le score de risque est calculé comme une moyenne arithmétique qui représente le risque en fonction de la priorité d’un incident de sécurité, du type d’incident de sécurité (déni de service, harponnage ou activité de code malveillant) et du nombre de sources qui ont déclenché un score d’échec de réputation sur un indicateur.

    Le score de risque permet aux analystes de hiérarchiser le travail lié aux incidents de sécurité.
    Important :
    Si vous souhaitez utiliser le nouveau calculateur de score de risque, reportez-vous à Définir les nouvelles règles du calculateur de score de risque.
    Les calculateurs d’incident de sécuritéDéfinir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer le score de risque d’un incident de sécurité. En outre, les règles métier suivantes déclenchent le calcul automatique des scores de risque :
    • Calculer la gravité
    • Mettre à jour le score de risque
    • Mettre à jour le score de risque SI
    Remarque :
    Le calculateur de risque disponible dans le système de base dépend de votre niveau tarifaire Security Operations.
    Lorsque vous examinez une liste d’incidents de sécurité dans le système de base, remarquez la colonne Score de risque .
    Figure 1. Incidents de sécurité
    Incidents de sécurité et scores de risque
    Le score de risque est calculé à l’aide des pondérations définies dans la configuration du score de risque.
    Figure 2. Configuration de score du risque
    Poids du score du risque

    Par exemple, si l’impact sur l’entreprise d’un incident de sécurité est défini sur 2-Élevé et la priorité sur 3-Modérée, les pondérations respectives de la table des poids de score de risque sont recherchées et calculées comme suit :

    Impact opérationnel d’un incident de sécurité avec une valeur de 2 = une pondération de 60.

    Priorité de l’incident de sécurité avec une valeur de 3 = un poids de 40.

    (60 + 40)/2 = un score de risque de 50.

    La position de l’incident de sécurité dans la liste des incidents de sécurité est ensuite réorganisée en fonction de son score de risque mis à jour.

    Si, dans l’exemple ci-dessus, l’impact sur l’entreprise ou la priorité de l’incident de sécurité sont modifiés, le score de risque est recalculé et les modifications sont reflétées dans les notes de travail.
    Figure 3. Notes de travail
    Notes de travail après calcul du score de risque
    Les notes de travail sont mises à jour lorsque les champs suivants sont modifiés (ce qui entraîne la mise à jour du score de risque) :
    • Impact sur l’activité du formulaire d’incident de sécurité
    • Priorité sur le formulaire d’incident de sécurité
    • Gravité sur le formulaire d’incident de sécurité (masqué par défaut)
    • Impact sur l’entreprise sur la liste connexe Utilisateurs affectés
    • Impact sur l’activité sur la liste connexe Services affectés
    • Impact sur l’entreprise sur les vulnérabilités de la liste connexe des éléments vulnérables
    En outre, les notes de travail sont mises à jour dans les situations suivantes :
    • Lorsqu’une association entre les utilisateurs affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre les services affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre des éléments vulnérables et un incident de sécurité est créée ou modifiée

    Les notes de travail sont également mises à jour chaque fois que vous cliquez sur Mettre à jour tous les scores de risque et Effacer tous les scores de risque sur le formulaire de pondération des scores de risque .

    Gérer les pondérations du score de risque

    Les poids de score de risque utilisés pour calculer les scores de risque dans les incidents de sécurité peuvent être supprimés ou mis à jour individuellement. Ils peuvent également être supprimés ou mis à jour pour tous les incidents de sécurité. La possibilité de les supprimer des incidents de sécurité est utile lors du changement des valeurs de poids.

    Avant de commencer
    Rôle requis : sn_sec_cmn.admin
    Remarque :
    Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque dans Réponse aux incidents de sécurité.
    Procédure
    1. Accédez à la Tout > Incident de sécurité > Configuration > Configuration du score du risque.
      Remarque :
      Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque en accédant à Incident de sécurité > Alertes et événements > Configuration du score des risques.
    2. Pour ajouter un nouveau poids de score de risque, cliquez sur Nouveau et entrez des informations dans les champs.
      Champ Description
      Type Sélectionnez le type de score de risque que vous définissez.
      Valeur Spécifiez la valeur associée au type sélectionné. Si plusieurs valeurs sont disponibles pour le type, vous pouvez définir plusieurs enregistrements de poids de score de risque. Exemple : priorité de l’incident de sécurité avec une valeur de 1, priorité de l’incident de sécurité avec une valeur de 2, etc.
      Poids Poids associé à la paire type/valeur sélectionnée. Les entrées valides sont comprises entre 0 et 100, 0 étant le poids le plus bas et 100 le poids le plus élevé.
    3. Cliquez sur Envoyer.
    4. Effectuez l’une de ces étapes, au besoin.
      • Pour effacer un enregistrement de poids de score de risque, ouvrez-le à partir de la liste et cliquez sur Supprimer.
      • Pour effacer tous les enregistrements de poids de score de risque, cliquez sur Effacer tous les scores de risque.
      • Pour mettre à jour tous les enregistrements de poids de score de risque, cliquez sur Mettre à jour tous les scores de risque.

    Créer un Réponse aux incidents de sécurité SLA

    Vous pouvez définir un accord sur les niveaux de service (SLA) pour Réponse aux incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Configuration > SLA.
    2. Cliquez sur Nouveau.
      Pour obtenir une description des champs et des instructions détaillées, reportez-vous à la section Create an SLA definition.

    Réparer les SLA d’incidents de sécurité

    Vous pouvez réparer les enregistrements SLA pour vous assurer que les informations de calendrier et de durée des SLA sont exactes.

    Avant de commencer

    Rôle requis : sn_si.basic

    Procédure

    1. S’il n’est pas déjà ouvert, ouvrez l’incident de sécurité pour lequel vous souhaitez réparer les SLA.
    2. Cliquez sur le menu contextuel de l’en-tête du formulaire et sélectionnez Réparer les SLA :
      Réparer les SLA à partir du menu d’en-tête du formulaire
    3. Cliquez sur OK dans la zone de confirmation d’avertissement.
      Pour plus d’informations, consultez Réparer les SLA.

    Créer un Runbook Security Incident Response

    Un runbook est une association entre un article de la base de connaissances publié et une tâche spécifique. Pendant que vous effectuez la tâche, un article de la base de connaissances dans le Runbook s’ouvre automatiquement, fournissant des informations pertinentes pour la tâche.

    Avant de commencer

    La base de Réponse aux incidents de sécurité connaissances Runbook doit comporter des articles existants. Lorsque vous créez un article de la base de connaissances sur un incident de sécurité, assurez-vous de sélectionner Runbook de réponse aux incidents de sécurité dans le champ de la base de connaissances . Une fois l’article publié, vous pouvez cliquer sur le bouton Créer un Runbook .

    Rôle requis : sn.si.knowledge_admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser des runbooks pendant les processus de création d’incidents de sécurité ou de tâches de réponse, ou associer les articles de la base de connaissances dans un runbook avec des tâches du playbook.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    2. Renseignez les champs comme il convient.
      Champ Description
      Article de la base de connaissances Sélectionnez un article de la base de connaissances à inclure dans le runbook.
      Actif Cochez la case pour rendre le runbook disponible à partir du navigateur de filtre.
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créez un nouveau groupe de filtres pour définir les critères du runbook.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un runbook.

      Ce champ s’affiche uniquement si la case Utiliser des groupes de filtres est cochée.
      Table Sélectionnez Incident de sécurité [sn_si_incident] ou Réponse aux incidents de sécurité Tâche [sn_si_task].

      Si vous avez coché la case Utiliser un groupe de filtres et sélectionné un groupe de filtres, ce champ est par défaut la table associée au groupe de filtres sélectionné.
      Condition Définissez les conditions qui connectent ce runbook à l’incident ou à la tâche.

      Si vous avez coché la case Utiliser un groupe de filtres et sélectionné un groupe de filtres, les champs Condition ne s’affichent pas.
    3. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      L’onglet Détails de l’article de la base de connaissances et une série de boutons apparaissent.
    4. Pour afficher les détails du runbook, cliquez sur l’onglet Détails de la base de connaissances .
    5. Pour afficher l’article de la base de connaissances tel qu’il apparaît à l’utilisateur, cliquez sur Afficher l’article.
    6. À Pour modifier les détails de l’article de la base de connaissances, cliquez sur Modifier l’article.

    Créer des règles pour valider les attaques de hameçonnage signalées par les utilisateurs

    Lorsque vos employés reçoivent des e-mails qui semblent être des attaques d’hameçonnage, ils peuvent vous les signaler à l’aide d’une adresse e-mail d’hameçonnage. L’e-mail suspect est validé à l’aide de règles définies par votre organisation.

    Avant de commencer

    Avant que les règles de correspondance des e-mails puissent être utilisées pour identifier les attaques de hameçonnage potentielles, définissez une adresse e-mail vers laquelle les e-mails transférés par vos employés seront envoyés pour traitement. Vous disposez des options suivantes pour définir cette adresse e-mail (en supposant que le domaine de messagerie de votre entreprise est acme.com) :
    • Définissez une adresse e-mail telle que acme+phishing@service-now.com. La balise +hameçonnage est prise en charge par SMTP pour activer le filtrage et votre instance peut recevoir les e-mails qui lui sont envoyés.
    • Définissez une adresse e-mail, telle que phishing@acme.com (votre boîte aux lettres Exchange), qui à son tour la transfère à acme+phishing@service-now.com (votre boîte aux lettres d’instance définie par une règle de transfert de messagerie).

    Rôle requis : sn_sec_cmn.write

    Pourquoi et quand exécuter cette tâche

    Lorsqu’un employé rencontre un e-mail suspect, il doit le transférer en pièce jointe à votre adresse e-mail d’hameçonnage. Si l’e-mail joint correspond à une règle définissant une menace, un incident de sécurité est créé.

    Procédure

    1. Accédez à la Tout > Security Operations > Traitement des e-mails > Hameçonnage signalé par un utilisateur.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs nécessaires.
      Tableau 6. Formulaire Règles de correspondance d’e-mail
      Champ Description
      Nom Nom de cette règle de correspondance d’e-mail. Par exemple, Hameçonnage signalé par un utilisateur.
      Conditions Utiliser le Générateur de conditions permettant de valider si un e-mail envoyé à l’adresse e-mail d’hameçonnage de votre entreprise est une attaque d’hameçonnage. Reportez-vous à l’exemple suivant.
    4. Cliquez sur Envoyer.

    Exemple

    Cet exemple montre une règle de correspondance pour le traitement du hameçonnage signalé par les utilisateurs.
    Figure 4. Exemple de règle de correspondance d’e-mail
    Règle de correspondance d’e-mail