Autres tâches de configuration supplémentaires Réponse aux incidents de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 10 minutes de lecture

    • Si vous êtes un administrateur du domaine global, vous configurez la façon dont Réponse aux incidents de sécurité gère les opérations quotidiennes.

    Avant de commencer

    Rôle requis : sn_si.admin
    Remarque :

    Ces options sont standard pour de nombreuses applications de gestion des services et, par conséquent, elles utilisent la terminologie de gestion des services. Par exemple, la demande est utilisée pour la tâche principale (c’est-à-dire l’incident de sécurité) et la tâche est utilisée pour les sous-tâches ou les tâches de réponse.

    Si vous êtes administrateur d’un domaine inférieur au domaine global, vous pouvez afficher l’écran Configurations, mais vous ne pouvez pas modifier les paramètres.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Administration > Configuration.
      Les options de configuration des applications sont organisées sous les onglets suivants :
      • L'onglet Processus de gestion contient des options pour configurer le cycle de vie de la demande, créer des catalogues et des demandes et configurer des notifications.
      • L'onglet Affectation contient des options pour configurer l'affectation manuelle et automatique.
      • L'onglet Compléments contient des options pour l'activation de la base de connaissances, des documents gérés et des activités de tâches.
    2. Renseignez les champs de l’onglet Processus business .
      Tableau 1. Écran de configuration — Onglet Processus de gestion
      Champ Description
      Cycle de vie.
      Des notes de travail sont requises pour fermer ou annuler une demande ou une tâche Activez cette option pour obliger l’utilisateur à saisir des notes de travail avant qu’un incident de sécurité ou une tâche de réponse puisse être fermé ou annulé.
      Copier les notes de travail de la tâche dans la demande Activez cette option pour synchroniser les notes de travail de tâche de réponse avec les notes de travail sur l’incident de sécurité. Ainsi, lorsque des notes de travail sont ajoutées à la tâche, les mêmes notes de travail apparaissent dans l’incident de sécurité parent.
      Catalogue et création de demande
      Créer ou mettre à jour les demandes par e-mail entrant Activez cette option pour créer ou mettre à jour des incidents de sécurité à partir des e-mails entrants.
      Les demandes sont créées avec Sélectionnez le catalogue ou le formulaire classique pour activer le catalogue et permettre la publication automatique des modèles d’incidents de sécurité dans le catalogue.

      Sélectionnez le formulaire classique uniquement pour désactiver le catalogue et désactiver la publication automatique des modèles d’incidents de sécurité dans le catalogue.
      Les modèles créent un élément de catalogue dédié Activez cette option pour activer la publication automatique d’éléments de catalogue pour l’application.
      Notifications
      Pour une demande ou une tâche, lorsque le champ sélectionné change, envoyer une notification aux destinataires Vous pouvez configurer des notifications pour qu’elles soient envoyées à des destinataires spécifiques lorsque certains champs des incidents de sécurité et des tâches de réponse changent.
      1. Dans la table, sélectionnez Demande (incident de sécurité) ou Tâche (tâche de réponse)).
      2. Dans Champ, sélectionnez le champ à utiliser pour générer des notifications. Lorsqu’un changement est apporté au champ sélectionné, une notification est envoyée aux destinataires identifiés.
      3. Dans Destinataires, sélectionnez un ou plusieurs destinataires.
      4. Si vous sélectionnez un utilisateur spécifique ou un groupe spécifique, vous êtes invité à sélectionner un utilisateur ou un groupe.
      5. Pour définir plus de notifications à l’aide d’autres champs ou destinataires, répétez les étapes précédentes pour le prochain ensemble de paramètres de notification.
      6. Pour supprimer une notification, cliquez sur l’icône de symbole de suppression de notification à droite de la notification.
    3. Cliquez sur l’onglet Affectation et remplissez les champs.
      Tableau 2. Écran de configuration — Onglet Affectation
      Champ Description
      Méthode d'affectation des demandes Sélectionnez la méthode d’affectation des incidents de sécurité :
      • à l’aide de l’affectation automatique : les incidents de sécurité sont affectés automatiquement.
      • à l’aide d’un workflow : les incidents de sécurité sont affectés par le workflow sélectionné.
      • manuellement : les incidents de sécurité sont affectés manuellement.
      Utilisez ce workflow pour affecter des demandes Sélectionnez le workflow pour la répartition des incidents de sécurité. Ce champ s’affiche lorsque l’utilisation d’un workflow est sélectionnée dans la liste Méthode d’affectation des demandes .
      Méthode d'affectation des tâches Sélectionnez la méthode d’affectation des tâches de réponse :
      • à l’aide de l’affectation automatique : les tâches de réponse sont affectées automatiquement.
      • à l’aide d’un workflow : les tâches de réponse sont affectées par le workflow sélectionné.
      • manuellement : les tâches de réponse sont affectées manuellement.
      Utilisez ce workflow pour affecter des tâches Sélectionnez le workflow pour affecter des tâches de réponse. Ce champ s’affiche lorsque l’utilisation d’un workflow est sélectionnée à partir de la liste Méthode d’affectation pour les tâches .
      Affectez les demandes ou les tâches en fonction des zones de couverture des groupes d'affectation Activez cette option pour limiter l’affectation des incidents de sécurité et des tâches de réponse aux groupes qui couvrent l’emplacement de la tâche.
      Ordonnancement
      La sélection automatique d’agents tient compte du fuseau horaire pour les tâches Activez cette option pour tenir compte du fuseau horaire de l'agent lors de l'affectation d'une tâche. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      Facteurs supplémentaires
      La sélection automatique d’agents, tenir compte de leur localisation Activez cette option pour donner la préférence aux agents qui sont plus proches de l’emplacement de la tâche, lors de l’affectation de tâches. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      La sélection automatique d'agents pour des tâches requiert qu'ils aient des compétences Sélectionnez le degré auquel les compétences de l’agent doivent être adaptées à une tâche lors de la détermination de l’affectation automatique.
      • Sélectionnez Tout pour exiger qu’un agent affecté ait toutes les compétences nécessaires pour effectuer la tâche. Un agent auquel il manque ne serait-ce qu’une seule compétence est éliminé.
      • Sélectionnez-en quelques-uns si vous voulez des agents qui possèdent la plupart des compétences requises pour effectuer la tâche.
      • Sélectionnez Aucun si vous souhaitez affecter automatiquement des agents sans prendre en compte les compétences. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      La tentative de sélection automatique vise à affecter le même agent à toutes les tâches d’une demande Activez cette option pour affecter automatiquement toutes les tâches de réponse à un incident de sécurité au même agent.
    4. Cliquez sur l’onglet Compléments et remplissez les champs.
      Tableau 3. Écran de configuration — Onglet Compléments
      Champ Description
      Documentation
      Activer une base de connaissances dédiée Activez cette option pour activer la base de connaissances pour Réponse aux incidents de sécurité.
      Activer les documents gérés Activez cette option pour ajouter une liste connexe aux documents gérés.
      Activer les activités de la tâche Activez cette option pour consigner les interactions et les communications liées aux tâches, telles que les appels téléphoniques et les messages électroniques.
    5. Cliquez sur Enregistrer.

    Verrouiller l’administration de la sécurité

    Pour protéger les enquêtes et préserver la confidentialité des incidents de sécurité, vous pouvez restreindre Réponse aux incidents de sécurité l’accès aux ACL et aux rôles spécifiques à la sécurité. L’accès aux personnes qui ne sont pas des administrateurs de sécurité peut être restreint, sauf si vous les autorisez expressément à entrer.

    Avant de commencer

    Lorsque l’application Réponse aux incidents de sécurité est activée, l’administrateur système dispose par défaut du rôle sn_si.admin. L’administrateur système est le seul administrateur qui peut configurer des groupes et des utilisateurs de sécurité.

    Un rôle de sécurité est requis pour avoir accès aux fonctionnalités et aux Réponse aux incidents de sécurité enregistrements.

    Rôle requis : sn_si.admin

    Procédure

    1. Une fois le Réponse aux incidents de sécurité module d’extension activé, un utilisateur doté du rôle admin affecte le rôle Administrateur inclus dans le champ d’application (sn_si.admin) à au moins un utilisateur.
    2. L’utilisateur doté du rôle administrateur passe au champ d’application de l’incident de sécurité.
    3. Accédez à la Applications système > Applications.
    4. Cliquez sur Téléchargements.
    5. Saisissez security dans le champ Rechercher des applications .
      Applications système
    6. Cliquez sur Incident de sécurité.
    7. Faites défiler vers le bas jusqu’aux liens connexes et cliquez sur Supprimer du rôle contenu par l’administrateur.
    8. Déconnectez-vous, puis reconnectez-vous.
      L’utilisateur administrateur ne peut pas accéder à l’application Réponse aux incidents de sécurité .

    Gérer l’accès restreint pour l’appelant

    La fonctionnalité d’accès restreint pour l’appelant (RCA) permet à un administrateur de définir un accès entre champs d’application à une application ou à une ressource d’application et d’autoriser ou de refuser les demandes d’accès. Cette fonctionnalité est activée par défaut afin Réponse aux incidents de sécurité que les analystes de sécurité puissent protéger les informations sensibles liées à la sécurité.

    Un champ appelé Accès pour l’appelant a été ajouté à toutes les tables et à tous les script includes dans , et le champ est défini par Réponse aux incidents de sécuritédéfaut sur Suivi de l’appelant. Ce paramètre signifie que les périmètres de l’application sont autorisés à accéder aux tables et aux Réponse aux incidents de sécurité script includes. Toutefois, un enregistrement de suivi est créé pour chaque enregistrement et stocké dans la table Privilège d’accès restreint pour l’appelant [sys_restricted_caller_access].
    Remarque :
    Soyez prudent lorsque vous changez des enregistrements de Suivi de l’appelant à Restreint de l’appelant. Les enregistrements ayant cet état ne sont pas accessibles tant qu’un administrateur n’a pas autorisé manuellement l’accès à ces enregistrements. L’administrateur doit accéder à Applications système > Accès restreint à l'application pour l'appelant, localisez la table ou le script include pour lequel l’accès a été demandé et faites passer le champ d’état de Demandé à Autorisé.

    Exécuter des tests de démarrage rapide pour Réponse aux incidents de sécurité

    Validez le fait qu’il fonctionne toujours après avoir apporté des changements de configuration, tels que Réponse aux incidents de sécurité l’application d’une mise à niveau ou le développement d’une application. Copiez et personnalisez ces tests de démarrage rapide à effectuer lorsque vous utilisez des données spécifiques à votre instance.

    Les tests de démarrage rapide pour Réponse aux incidents de sécurité nécessitent l'activation du module d'extension Réponse aux incidents de sécurité (com.snc.security_incident) et le chargement des données de démonstration.

    Tableau 4. Tests Réponse aux incidents de sécurité
    Test Description Version
    SIR : créer un incident de sécurité Déterminez si un utilisateur peut créer un incident de sécurité depuis le formulaire d'incident de sécurité. Washington DC
    SIR : créer un incident de sécurité via le catalogue d'incidents de sécurité Déterminez si un utilisateur peut créer un incident de sécurité depuis le catalogue. Washington DC
    SIR : cycle de vie des incidents de sécurité Validez les tâches de réponse du workflow de violation de la politique. Washington DC
    SIR : rechercher des menaces Validez la capacité de recherche des menaces. Washington DC
    SIR : configuration prête à l'emploi des évaluations PIR Utilisez ce test pour valider les évaluations PIR et les configurations du système de base. Washington DC
    SIR : configuration conditionnelle des évaluations PIR

    Vérifiez que les incidents de sécurité correspondant à la règle conditionnelle obligatoire ne sont pas fermés avant que l'évaluation post-incident ne soit terminée.

    Vérifiez que les incidents de sécurité correspondant à la règle conditionnelle facultative peuvent être fermés avant que l'évaluation post-incident ne soit terminée.

    Vérifiez que les évaluations ne sont pas générées pour les incidents de sécurité qui ne correspondent à aucune règle.

    		 Washington DC
    SIR : vérification de l'heure d'exécution PIR Vérifiez que les rapports PIR sont configurés et joints aux incidents de sécurité selon la nouvelle conception. Washington DC
    SIR : vérification de la configuration de l'heure de conception PIR Vérifiez que l'incident de sécurité est mappé au modèle de rapport en fonction de la configuration de l'administrateur. Washington DC
    SIR : lier l'incident de sécurité à un incident de sécurité majeur Liez un incident de sécurité à un incident de sécurité majeur existant et validez les données de l'incident de sécurité repris sur l'incident de sécurité majeur. Washington DC
    SIR : promouvoir l'incident de sécurité comme incident de sécurité majeur Promouvoir un incident de sécurité en tant qu'incident de sécurité majeur et valider les données de l'incident de sécurité déployé jusqu'à l'incident de sécurité majeur. Washington DC
    SIR : proposer un incident de sécurité comme incident de sécurité majeur Proposez un incident de sécurité en tant qu'incident de sécurité majeur et validez les données de l'incident de sécurité déployé jusqu'à l'incident de sécurité majeur. Washington DC
    Vérifier que seuls les membres autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée Vérifiez que seuls les membres autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée. Washington DC
    Vérifier que seuls les groupes autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée Vérifiez que seuls les groupes autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée. Washington DC
    Valider l'accès en lecture Validez l'accès à l'affichage. Washington DC
    Valider l'accès en écriture Validez l'accès en modification. Washington DC