Gestion des tickets de sécurité permet aux analystes de sécurité qui se livrent à la chasse aux menaces de recueillir des informations sur les activités suspectes dans leur environnement. Les enregistrements relatifs aux tickets, tels que les incidents de sécurité, les observables, les CI et les utilisateurs affectés peuvent être ajoutés aux tickets pour permettre une analyse large et spécifique.

Grâce à la possibilité de parcourir facilement les enregistrements et les informations connexes, les analystes peuvent évaluer s’ils sont confrontés à une campagne ciblée, à une menace persistante avancée, etc.

Les tickets de sécurité peuvent être créés à partir de différentes sources sur votre instance, notamment Gestion des tickets de sécurité, Réponse aux incidents de sécurité, et Renseignements sur les menaces. Vous pouvez également créer des tickets à partir d’éléments de configuration et d’utilisateurs affectés dans les tables Éléments de configuration [cmdb.ci] et Utilisateurs [sys.user], respectivement. Une fois les tickets créés, chacune de ces sources peut également être utilisée pour ajouter de précieuses ressources d’analyse aux tickets existants.

Chaque ticket de sécurité se compose de trois sections principales, d’une section d’en-tête, d’une section avec des détails supplémentaires sur le ticket et d’une section d’artefacts de ticket contenant une collection d’enregistrements qui aident à construire un argument pour identifier et traiter des menaces particulières.

En-tête du ticket

L’en-tête du ticket fournit des informations de base permettant d’identifier et de classer le ticket de sécurité. Le numéro de ticket utilise le préfixe SECC.

Informations supplémentaires sur le ticket

La section Détails supplémentaires du ticket fournit des informations spécifiques à l’analyse qui a déjà été effectuée sur le ticket, y compris son état actuel, ainsi que les notes de travail et les activités enregistrées pour le ticket.

Artefacts du ticket

La section Artefacts du ticket fournit une série d’onglets d’informations contenues dans le ticket de sécurité.

Vous pouvez effectuer des recherches dans le contenu de chaque onglet. Vous pouvez également exclure des enregistrements spécifiques que vous avez déjà évalués comme étant sûrs ou qui n’ont aucune valeur dans votre enquête. Les enregistrements exclus ne sont pas supprimés, mais sont masqués. Si nécessaire, vous pouvez afficher les enregistrements exclus et les rajouter.

Dans chaque onglet, vous pouvez cliquer sur l’icône Détails supplémentaires pour afficher les informations connexes de l’enregistrement sélectionné. Par exemple, si vous cliquez sur l’onglet Éléments de configuration pour afficher l’Explorateur d’éléments de configuration, puis cliquez sur Détails supplémentaires pour un CI spécifique, vous pouvez afficher les incidents, les éléments vulnérables et les annotations associés à ce CI.

Vous pouvez également sélectionner un enregistrement et cliquer sur le bouton Annoter d’un artefact lié au ticket afin d’ajouter des annotations à l’enregistrement. Les annotations sont simplement des notes que chaque analyste peut faire sur un artefact particulier.

D’autres outils que l’analyste peut utiliser pour examiner les cas sont les suivants :

• Exécuter une recherche de perceptions sur les observables d’un ticket
• Rechercher des artefacts de sécurité