Présentation de Réponse aux incidents de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Grâce Réponse aux incidents de sécurité à (SIR), gérez le cycle de vie de vos incidents de sécurité, de l’analyse initiale à la maîtrise, en passant par l’éradication et la récupération. Security Incident Response vous permet d’obtenir une compréhension complète des procédures de réponse aux incidents exécutées par vos analystes, et de comprendre les tendances et les goulots d’étranglement de ces procédures grâce à des tableaux de bord et des rapports basés sur l’analyse.

    Regardez cette vidéo de neuf minutes pour en savoir plus sur le processus SIR, qui Réponse aux incidents de sécurité permet de contrecarrer les attaques et d’afficher l’activité de sécurité dans l’Explorateur Réponse aux incidents de sécurité .

    Les intégrations intégrées avec des solutions de cybersécurité tierces et les intégrations développées par des partenaires à partir du Store permettent l’automatisation et l’orchestration de la ServiceNow sécurité pour une réponse efficace et précise aux incidents.

    Pour protéger vos enquêtes et préserver la confidentialité des incidents de sécurité, Réponse aux incidents de sécurité fournit les moyens de restreindre l’accès au système à des rôles et ACL spécifiques liés à la sécurité. L’accès aux personnes qui ne sont pas des administrateurs de sécurité peut être restreint, sauf si vous les autorisez expressément à entrer.
    Remarque :
    Les administrateurs du système informatique [admin] peuvent emprunter l’identité d’utilisateurs ServiceNow. Toutefois, lorsqu’il emprunte l’identité d’un utilisateur ayant le rôle d’administrateur d’application pour Security Incident Response, un administrateur ne peut pas accéder aux fonctionnalités accordées par ce rôle, y compris les incidents de sécurité et les informations de profil. L’accès aux modules et aux applications dans la barre de navigation est également restreint. En outre, l’administrateur ne peut pas modifier le mot de passe d’un utilisateur ayant un rôle d’administrateur d’application pour Security Incident Response.

    Flux d’informations SIR

    Security Incident Response utilise le flux d’informations suivant, de l’intégration à l’enquête, puis à la résolution et à l’examen.

    Figure 1. Flux d’informations de Security Incident Response
    Flux d’informations SIR

    Détection

    Les incidents de sécurité peuvent être consignés ou créés des manières suivantes.
    • À partir du formulaire d’incident de sécurité
    • À partir d’événements générés en interne, ou créés par des systèmes externes de surveillance ou de suivi des vulnérabilités via des règles d’alerte, ou manuellement
    • À partir de systèmes externes de surveillance ou de suivi
    • À partir du catalogue de services

    Analyse

    En fonction de la vue sélectionnée que vous utilisez (par défaut, Sécurité non informatique, Sécurité ITIL, etc.), le formulaire d’incident de sécurité peut afficher n’importe quelle combinaison de vulnérabilités, d’incidents, de changements, de problèmes et de tâches sur le CI affecté et les groupes de CI affectés. Le système peut identifier les programmes malveillants, les virus et d’autres zones de vulnérabilité en croisant la base de données du National Institute of Standards and Technology (NIST) ou un autre logiciel de détection tiers. Au fur et à mesure que les incidents de sécurité sont résolus, vous pouvez utiliser n’importe quel incident pour créer un article de la base de connaissances de sécurité pour référence ultérieure.

    Effectuez une analyse plus approfondie à l’aide d’une carte des services d’entreprises pour localiser d’autres systèmes ou services d’entreprises affectés qui peuvent être infectés.

    Confinement, éradication et reprise

    À mesure que vous surveillez et analysez les vulnérabilités, vous pouvez créer et affecter des tâches à d’autres départements. Vous pouvez utiliser une carte des services d’entreprises pour créer des tâches, des problèmes ou des changements pour tous les systèmes, documents, activités, messages SMS, appels de pont, etc. affectés.

    Revue

    Une fois l’incident résolu, d’autres étapes peuvent avoir lieu avant la fermeture. Vous pouvez effectuer une revue post-incident. La création d’articles de la base de connaissances peut aider à résoudre de futurs incidents similaires. Les incidents importants peuvent nécessiter un examen de résolution post-incident. Cet examen peut prendre plusieurs formes. Par exemple :
    • Organisez une réunion pour discuter de l’incident et recueillir des réponses.
    • Rédigez et distribuez aux équipes qui ont travaillé sur un incident une liste de questions d’examen de résolution conçues pour chaque catégorie ou priorité d’incident.
    • Les gestionnaires d’incidents peuvent rédiger le rapport et recueillir des informations par eux-mêmes.
    Un rapport d’examen de résolution d’incident peut être généré automatiquement et comprend les éléments suivants :
    1. un résumé de ce qui a été fait ;
    2. la chronologie
    3. Type d’incident de sécurité rencontré
    4. tous les incidents, changements, problèmes, tâches, groupes de CI associés
    5. Les détails de la résolution
    En outre, un système automatisé d’enquête sur l’examen de la résolution des incidents de sécurité est disponible. Il rassemble les noms de tous les utilisateurs affectés à un incident de sécurité et envoie une enquête personnalisée pour recueillir des données sur la façon de traiter l’incident. Ces données peuvent ensuite être mises à disposition dans un rapport d’examen des incidents de sécurité généré, que vous pouvez modifier pour en faire une version finale. Des données similaires peuvent être ajoutées à un article de la base de connaissances pour contenir les leçons apprises et les étapes à suivre pour résoudre des problèmes similaires à l’avenir.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    Terminologie de Security Incident Response

    Les termes suivants sont utilisés dans Réponse aux incidents de sécurité.
    Terme Définition
    Actif Tout incident de sécurité dont l’état n’est pas Fermé ou Annulé.
    Verrouillage de l’administrateur Possibilité de restreindre Réponse aux incidents de sécurité l’accès au personnel disposant de rôles et d’ACL liés à la sécurité.
    Demandes de sécurité entrantes Demandes soumises pour des demandes de sécurité à faible impact, telles que la demande d’un nouveau badge électronique.
    Gérer les activités post-incident Examen des origines et du traitement d’un incident de sécurité. Le produit final est un rapport post-incident, qui documente toutes les actions effectuées et les raisons pour lesquelles elles ont été effectuées.
    Tâches de réponses Tâches affectées à un incident de sécurité pour le suivi des actions en réponse à la menace.
    Comprendre les calculateurs d’incident de sécurité Calculateurs utilisés pour mettre à jour les valeurs d’enregistrement lorsque des conditions préconfigurées sont remplies.
    Arborescences des incidents de sécurité Type de graphique qui affiche hiérarchiquement les données d’incident de sécurité sous la forme de rectangles imbriqués.
    Recherche de menace Demande soumise à partir du catalogue d’incidents de sécurité pour l’analyse des fichiers, des URL et des adresses IP à la recherche de programmes malveillants.
    Analyse de vulnérabilité Demande lancée à partir du formulaire d’incident de sécurité pour l’analyse des ressources affectées (serveurs, ordinateurs et autres éléments de configuration) à la recherche de vulnérabilités.