Gérez les menaces de sécurité à l’aide d' Security Analyst Workspace

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Réponse aux incidents de sécurité comprend une nouvelle interface utilisateur appelée Qui Security Analyst Workspace comprend des outils puissants d’aide à l’analyse, notamment le playbook, le mode d’aperçu et des onglets pour travailler sur plusieurs incidents de sécurité.

    Spécialement conçus pour les analystes de sécurité, ces Security Analyst Workspace outils puissants vous permettent d’analyser le volume toujours croissant de données associées aux incidents de sécurité. De plus, les actions automatisées réduisent considérablement le temps d’enquête sur les incidents de sécurité, ce qui peut faire la différence entre l’arrêt d’une attaque et la violation d’une violation.

    Avant d’utiliser le Security Analyst Workspace

    Avant de pouvoir commencer à utiliser le Security Analyst Workspace, vous devez vous assurer qu’au moins London Patch 3 est installé sur votre instance, que vous avez défini les rôles appropriés et que vous avez a téléchargé l’application d’interface utilisateur Security Incident Response depuis le ServiceNow Store.
    Remarque :
    Si votre instance exécute une version antérieure à London Patch 3, vous devez demander le module d’extension d’interface utilisateur Security Incident Response via le système HI Customer Service.

    Accéder à Security Analyst Workspace

    Pour accéder à ce nouvel espace de travail, accédez à Incident de sécurité > Incidents (nouvelle UI).

    Figure 1. Incident de sécurité
    Barre de navigation d’incident de sécurité

    L’espace de travail s’ouvre dans un onglet de navigateur distinct.

    Figure 2. Incidents de sécurité
    Tous les incidents de sécurité ouverts

    Localisez les incidents de sécurité que vous souhaitez analyser avec des filtres rapides

    La Security Analyst Workspace fournit plusieurs outils pour filtrer la liste des incidents de sécurité afin que vous puissiez trouver rapidement les incidents de sécurité que vous souhaitez analyser. Les filtres rapides vous permettent de sélectionner un sous-ensemble d’incidents de sécurité en fonction des critères du filtre.
    Figure 3. Filtres rapides
    Filtres rapides

    Il vous suffit de cliquer sur le filtre rapide que vous souhaitez utiliser.

    Remarque :
    Vous pouvez cliquer sur un bouton Modifier pour identifier les filtres rapides que vous souhaitez afficher sur l’écran de liste. Au moins un filtre doit être sélectionné, jusqu’à un maximum de six.

    Vous pouvez définir des filtres rapides supplémentaires, ainsi que des filtres primaires pour le , à l’aide de Security Analyst Workspacel’environnement classique. Pour plus d'informations, consultez Configurer les filtres primaires et secondaires pour Security Analyst Workspace.

    Personnaliser la liste des incidents de sécurité

    Comme pour toutes les listes de votre instance, la Security Analyst Workspace fournit des outils pour personnaliser la liste et trier les informations affichées afin de répondre à vos besoins d’analyse.
    Figure 4. Personnaliser la liste des incidents de sécurité
    Options de filtrage de la liste des incidents de sécurité

    Gagnez du temps avec le mode Aperçu

    Avant d’ouvrir un enregistrement d’incident de sécurité, vous pouvez gagner du temps en utilisant la vue Coup d’œil. Cette fonctionnalité vous permet de localiser rapidement les artefacts de sécurité vitaux sans avoir à recharger la page entière. Il vous suffit de cliquer sur l’icône de > à gauche d’un numéro d’incident de sécurité pour jeter un coup d’œil.

    Figure 5. Vue d’ensemble
    Incident de sécurité affichant la vue en mode coup d’œil
    Le mode d’aperçu fournit un instantané des informations vitales en une seule vue. Cette vue peut vous faire gagner un temps précieux lorsque vous travaillez sur plusieurs incidents. Vous pouvez cliquer sur les flèches vers le bas sur certains champs pour effectuer des mises à jour à la volée, telles que l’affectation d’un groupe d’affectation ou d’un analyste spécifique.
    Figure 6. Aperçu des détails
    Aperçu des détails

    Effectuer des actions rapides sur un incident de sécurité

    Une fois que vous avez sélectionné et ouvert un incident de sécurité spécifique, vous pouvez effectuer des actions permettant de gagner du temps sur l’enregistrement.
    • Si votre incident de sécurité est ouvert, cliquez sur l’icône Modifier l’enregistrement pour apporter des modifications rapides à l’un de ses champs. Si l’enregistrement est fermé, vous ne pouvez modifier que sa balise.
    • Cliquez sur Gérer les pièces jointes pour joindre des fichiers à l’incident de sécurité. Vous pouvez également télécharger ou supprimer des fichiers joints et modifier le chiffrement appliqué aux pièces jointes.
    • Cliquez sur Composer un e-mail pour envoyer un e-mail rapide à un collègue. Les e-mails peuvent être de forme libre ou vous pouvez envoyer des e-mails prédéfinis sélectionnés dans une liste de modèles. Les e-mails envoyés et les réponses reçues sont capturés dans la chronologie de l’incident.
      Remarque :
      Vous pouvez créer des modèles personnalisés qui contiennent du contenu réutilisable pour les e-mails et les notifications par e-mail. Les variables peuvent être utilisées pour insérer des informations spécifiques à l’incident de sécurité ou à l’alerte, telles que la ligne d’objet, la priorité ou la catégorie de menace. Utilisez la table Incident de sécurité [sn_si_incident] pour les e-mails et les notifications par e-mail associés à Réponse aux incidents de sécurité. Pour plus d’informations, consultez Modèles d’e-mail
    • Cliquez sur More (Plus ) pour afficher un instantané rapide de l’incident de sécurité, notamment sa description, son impact sur l’entreprise et sa priorité. Vous pouvez également cliquer sur la flèche vers le bas dans les champs Groupe d’affectation et Affecté à pour apporter des modifications à la volée à ces champs.
    Figure 7. Groupe d'affectation
    Actions rapides

    Travailler avec plusieurs incidents de sécurité

    L’interface à onglets vous permet de garder plusieurs incidents de sécurité ouverts simultanément afin que vous puissiez passer de l’un à l’autre en un seul clic. Cela peut vous faire gagner du temps et vous permettre d’avoir une vue d’ensemble lorsque des menaces provenant de sources multiples sont identifiées.
    Figure 8. Travailler avec plusieurs incidents de sécurité
    Interface à onglets d’incident de sécurité

    Afficher les informations d’analyse dans les onglets d’incident de sécurité

    Lorsque vous ouvrez un enregistrement d’incident de sécurité, trois onglets s’affichent :
    • Vue d'ensemble
    • Explorer
    • Chronologie des incidents

    Onglet Vue d'ensemble

    Utilisez l’onglet Vue d’ensemble pour afficher les informations d’un incident de sécurité dans un seul emplacement. Pas besoin d’ouvrir une autre application ou console.
    Figure 9. Vue d'ensemble
    Onglet Vue d’ensemble
    Les vignettes affichées dans l’onglet Vue d’ensemble sont personnalisables. Vous pouvez les réduire et les développer selon vos besoins, et vous pouvez les déplacer en faisant glisser l’icône Poignée . Cliquez sur l’icône Plus d’options pour supprimer une vignette ou modifier son texte d’en-tête.
    Figure 10. Onglet Vue d'ensemble
    Se déplacer dans l’onglet Vue d’ensemble.

    Onglet Explorer

    Configurez les vignettes affichées dans l’onglet Vue d’ensemble à l’aide de l’onglet Explorer . Il vous suffit de sélectionner les vignettes que vous souhaitez afficher dans le volet de gauche, puis de cliquer sur l’icône Épingler . Les vignettes épinglées apparaissent automatiquement dans l’onglet Vue d’ensemble .
    Figure 11. Onglet Expore
    Épingler à la vue d'ensemble
    Le volet gauche de l’onglet Explorer comprend une grande variété d’informations que vous pouvez afficher dans l’onglet Vue d’ensemble . Par exemple, développez Observables pour afficher ces listes connexes.
    • Observables
    • Résultats de la recherche de menace
    • Résultats de l’analyse de sécurité
    • Recherches de domaine
    • Enrichissement des éléments observables

    D’autres listes connexes sont disponibles sous Utilisateurs, Éléments de configuration et Incidents.

    Onglet Chronologie des incidents

    Utilisez l’onglet Chronologie des incidents pendant votre enquête à des fins de suivi. Chaque fois qu’une action est effectuée sur un incident de sécurité, le système l’enregistre dans la chronologie des incidents.
    • Vous pouvez également ajouter manuellement des notes de travail à la chronologie en les saisissant dans la zone Ajouter des notes de travail et en cliquant sur Publier.
    • Vous pouvez rechercher une activité de chronologie spécifique à l’aide de la zone Rechercher.
    • L’icône Filtrer l’activité vous permet d’afficher uniquement les types d’activité de chronologie que vous souhaitez afficher (par exemple, uniquement les incidents créés par un analyste spécifique).
    • Vous pouvez ajouter ou supprimer la chronologie des incidents à partir de l’onglet Vue d’ensemble à l’aide de l’icône Épingler/Détacher .
    Figure 12. Onglet Chronologie des incidents
    Chronologie des incidents

    Gérer les incidents de sécurité à l’aide du playbook

    Résolvez certains types de menaces de sécurité étape par étape à l’aide des playbooks d’analyste de sécurité intégrés. Par exemple, un analyste peut utiliser le playbook pour résoudre les attaques de phishing et les menaces causées par des activités de code malveillant. Pour plus d'informations, consultez Résolvez les menaces de sécurité avec le playbook.