Security Case Management

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Security Case Management fournit un moyen aux analystes de sécurité engagés dans la chasse aux menaces de recueillir des informations sur les activités suspectes dans leur environnement. Les enregistrements connexes aux tickets, tels que les incidents de sécurité, les observables, les CI et les utilisateurs affectés, peuvent être ajoutés aux tickets pour permettre une analyse large et spécifique.

    Grâce à la possibilité de naviguer facilement entre les enregistrements et les informations associées, les analystes peuvent évaluer s’ils sont confrontés à une campagne ciblée, à une menace persistante avancée, etc.

    Les tickets de sécurité peuvent être créés à partir de diverses sources sur votre instance, y compris Security Case Management, Réponse aux incidents de sécuritéet Renseignements sur les menaces. Vous pouvez également créer des tickets à partir d’éléments de configuration et d’utilisateurs affectés dans les tables Éléments de configuration [cmdb.ci] et Utilisateurs [sys.user], respectivement. Une fois les tickets créés, chacune de ces sources peut également être utilisée pour ajouter de précieuses ressources d’analyse aux tickets existants.

    Chaque ticket de sécurité se compose de trois sections principales, une section d’en-tête, une section avec des détails supplémentaires sur le ticket et une section d’artefacts de ticket contenant une collection d’enregistrements qui aident à construire un argument pour identifier et traiter des menaces particulières.

    En-tête du ticket

    Figure 1. Section d’en-tête de ticket
    En-tête du ticket

    L’en-tête du ticket fournit des informations de base utilisées pour identifier et classifier le ticket de sécurité. Le numéro de ticket utilise le préfixe SECC.

    Informations supplémentaires sur le ticket

    Figure 2. Section Détails supplémentaires du ticket
    Informations supplémentaires sur le ticket

    La section Détails supplémentaires du ticket fournit des informations spécifiques à l’analyse qui a déjà été effectuée sur le ticket, y compris son état actuel, ainsi que les notes de travail et les activités enregistrées pour le ticket.

    Artefacts des tickets

    Figure 3. Section Artefacts du ticket
    Artefacts des tickets

    La section Artefacts du ticket fournit une série d’onglets d’informations contenues dans le ticket de sécurité.

    Vous pouvez effectuer des recherches dans le contenu de chaque onglet. Vous pouvez également exclure des enregistrements spécifiques que vous avez déjà évalués comme étant sûrs ou qui n’ont aucune valeur dans votre enquête. Les enregistrements exclus ne sont pas supprimés, mais sont masqués. Si nécessaire, vous pouvez afficher les enregistrements exclus et les rajouter.

    Dans chaque onglet, vous pouvez cliquer sur l’icône Détails supplémentaires pour afficher les informations connexes de l’enregistrement sélectionné. Par exemple, si vous cliquez sur l’onglet Éléments de configuration pour afficher l’Explorateur d’éléments de configuration, puis cliquez sur Informations supplémentaires pour un CI spécifique, vous pouvez afficher les incidents, les éléments vulnérables et les annotations associés à ce CI.
    Figure 4. Artefacts du ticket : détails connexes
    Données connexes sur les CI
    Vous pouvez également sélectionner un enregistrement et cliquer sur le bouton Annoter d’un artefact lié au ticket pour ajouter des annotations à l’enregistrement. Les annotations sont simplement des notes que chaque analyste peut prendre sur un artefact particulier.
    Figure 5. Annotations de sécurité
    Annotations
    L’analyste peut également utiliser les outils suivants pour examiner les cas :