Créer un incident de sécurité à partir de la liste Incident de sécurité
En plus des méthodes automatiques de création d’incidents de sécurité, vous pouvez les créer manuellement, si nécessaire.
Avant de commencer
Rôle requis : sn_si.basic
Procédure
-
Accédez à une liste d’incidents de sécurité (par exemple, Tous > Incident de sécurité > Incidents > Afficher tous les incidents).
-
Cliquez sur Nouveau.
-
Renseignez les champs du formulaire.
Champ Description Sélectionner une balise de sécurité Si nécessaire, sélectionnez une balise de sécurité pour ajouter des métadonnées à l’enregistrement ou identifier qui doit avoir accès à cet enregistrement d’incident de sécurité. Ce champ s’affiche uniquement après l’enregistrement de l’incident de sécurité. Numéro [Lecture seule] Numéro de l’incident de sécurité. Demandés par Personne demandant l’exécution du travail. ID d’élément de configuration Le serveur, l’ordinateur, le routeur ou tout autre élément de configuration affecté par le problème de sécurité. Utilisateur affecté Personne affectée par le problème de sécurité. Emplacement Emplacement du demandeur ou de la ressource. Si un élément de configuration n’est pas sélectionné, ce champ est prérempli avec l’emplacement du demandeur. Catégorie Catégorie qui identifie le type de problème de sécurité. Si une catégorie est sélectionnée, un workflow d’analyse de ce problème est exécuté lors de la sauvegarde de l’enregistrement. Par exemple, si vous sélectionnez Déni de service, le workflow Incident de sécurité - Déni de service - Modèle est exécuté.
Pour plus d'informations, consultez Modèles de workflow de Security Incident Response.
Sous-catégorie Sous-catégorie qui précise le problème. Ouvert [Lecture seule] Affiche la date et l’heure d’ouverture de l’incident. État L’état actuel de l’incident de sécurité. Lors de la création de l’incident de sécurité, ce champ est défini par défaut sur Brouillon. Sous-état Identifie si l’incident de sécurité inclut un problème ou un changement en attente. Source Identifie la source de l’incident de sécurité, tel qu’un e-mail, un appel téléphonique ou une surveillance réseau. Capteur d’alerte Intégration de sécurité par laquelle vous ingérez les données d’alerte ou d’événement telles que CarbonBlack, CrowdStrike, McAfee, etc. Règle d4alerte Règle du produit de sécurité qui a déclenché la création de cet incident de sécurité. Score du risque Affiche le score de risque calculé pour cet incident de sécurité. La valeur est basée sur la priorité de l’incident de sécurité, le type d’incident de sécurité (déni de service, spear phishing ou activité de code malveillant) et le nombre de sources ayant déclenché un score de réputation échoué sur un indicateur. Le score de risque permet de hiérarchiser le travail d’incident de sécurité pour les analystes. Trois propriétés d’incident de sécurité vous permettent de désigner davantage un point à code couleur à afficher à côté du score de risque dans la vue de liste afin de le rendre plus facilement identifiable.
Si vous modifiez certains champs de l’incident de sécurité, tels que l’impact sur l’entreprise ou la priorité, et sauvegardez l’enregistrement, le score de risque est automatiquement recalculé et affiché. Le changement est également reflété dans les notes de travail et sur la liste connexe Audits de score de risque.Remarque :Le score de risque est également recalculé lorsque les utilisateurs affectés sont associés à un incident de sécurité, à des services affectés ou à des éléments vulnérables.Vous pouvez également saisir manuellement un nouveau score de risque. Cela peut être utile si vous souhaitez maintenir un incident de sécurité particulier en haut de la liste des incidents de sécurité que vous analysez. Si vous saisissez un nouveau score de risque, la case de remplacement du score de risque est automatiquement cochée. Quels que soient les changements apportés à l’incident de sécurité, un score de risque saisi manuellement n’est pas automatiquement recalculé.Remarque :Si vous avez mis à niveau votre instance à partir d’une version antérieure, les scores de risque ont été calculés pour tous vos incidents de sécurité ouverts. Pour plus d'informations, consultez Comprendre les calculateurs d’incident de sécurité.Remplacement du score du risque Cochez cette case pour remplacer la mise à jour automatique du score de risque. Le remplacement sera reflété dans les notes de travail. Impact sur l'activité Sélectionnez l’importance de cet incident de sécurité pour votre entreprise. La valeur par défaut est Non critique. Si, après l’enregistrement de l’incident de sécurité, vous modifiez la valeur dans les champs Priorité ou Risque , l’impact sur l’entreprise est recalculé. Priorité Sélectionnez l’ordre dans lequel traiter cet incident de sécurité, en fonction de l’urgence. Si cette valeur est modifiée après la sauvegarde de l’enregistrement, cela peut affecter le calcul de l’impact sur l’entreprise . Groupe d'affectation Groupe auquel cet incident de sécurité est affecté. Affecté à Personne affectée à l’analyse de cet incident de sécurité. Les affectations peuvent être effectuées manuellement ou automatiquement. Pour plus d'informations, consultez Affectation d’analystes de sécurité. Description brève Brève description de l’incident de sécurité.
Résultats de recherche dans la base de connaissances Au fur et à mesure que vous saisissez la brève description, des liens vers les articles connexes de la base de connaissances s’affichent. L’analyse des informations pourrait résoudre votre problème.
-
Cliquez avec le bouton droit de la souris dans l’en-tête de l’enregistrement et sélectionnez Enregistrer.
Si vous avez ajouté un nouveau CI à l’incident de sécurité, les workflows d’intégration suivants sont automatiquement exécutés :
- Security Operations - Workflow Obtenir les processus en cours d’exécution. Ce workflow récupère une liste des processus en cours d’exécution sur un élément de configuration (CI) à partir d’un point de terminaison ou d’un hôte.
- Workflow Security Incident Response - Obtenir les services d’exécution. Ce workflow récupère une liste des services en cours d’exécution à partir des CI basés sur Windows.
- Workflow Security Operations Integrations - Obtenir les statistiques réseau. Ce workflow récupère une liste des connexions réseau actives à partir d’un point de terminaison ou d’un hôte.
-
Pour afficher les informations récupérées par ces workflows, cliquez sur le lien connexe Afficher les données d’enrichissement , puis cliquez sur l’un des onglets indiqués.
Remarque :D’autres workflows sont exécutés en fonction des intégrations tierces que vous avez activées comme suit :
Intégration de Tanium Endpoint Platform : Tanium : workflow d’obtention des processus en cours d’exécution