Workflow de fermeture de l’incident de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Fermez l’incident de sécurité en mettant à jour l’état de l’incident.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Par exemple, accédez à Listes > Incidents de sécurité > Incidents ouverts.
    3. Ouvrez un incident que vous souhaitez fermer.
    4. Accédez à l’onglet Détails .
    5. Explorez l’état de l’incident et sélectionnez Fermer.
    6. Effectuez les activités de fermeture.

      • Il s’agit d’une étape obligatoire pour examiner n’importe quelle tâche avant de fermer un incident de sécurité. Toute tâche de réponse doit être examinée par l’analyste et fermée ou annulée avant d’être fermée en tant qu’incident de sécurité. Lorsque l’analyste clique sur Examiner les tâches actives, il redirige l’utilisateur vers l’onglet Tâches de réponse . Un message de session s’affiche pour vous informer que vous êtes sur le point de fermer un incident de sécurité. Cliquez sur Continuer.

      • Cliquez sur Continuer. La première étape – examiner les tâches actives lors de la fermeture de l’incident de sécurité – est terminée.
        Figure 1. Examen des tâches de fermeture
        Fermer la fenêtre contextuelle de l’incident de sécurité : examen des tâches actives.
      • Passez à l’étape suivante pour examiner les playbooks actifs que l’analyste doit examiner, qui est une étape facultative. Vous pouvez cliquer sur le lien pour examiner la tâche Playbook active et la fermer au besoin.
        Remarque :
        Tous les workflows, activités de playbook et flux actifs seront automatiquement annulés lors de la fermeture de l’incident de sécurité.
        Figure 2. Examiner les tâches du playbook
        Fermer la fenêtre contextuelle de l’incident de sécurité : examen des playbooks actifs.
        Utilisation du manuel d’hameçonnage pour analyser un incident d’hameçonnage signalé par un utilisateur.
      • Rapport d’examen post-incident : vous allez maintenant être déplacé pour examiner les activités post-incident afin de poursuivre la fermeture. Si l’évaluation est facultative, ignorez l’étape ou si l’évaluation est obligatoire, passez l’évaluation et terminez-la.
        Figure 3. Passer en revue/passer en revue l’évaluation
        Fermez la fenêtre contextuelle de l’incident de sécurité : effectuez une évaluation.
        Revue post-incident : évaluation de l’incident.
      • Configurer/prévisualiser le rapport : il s’agit là encore d’une étape facultative, cliquez sur le lien pour examiner le rapport et passer à l’étape suivante .
        Revue post-incident : rapports de l’incident.
      • Fournir les détails de la résolution : l’analyste peut cocher la case pour créer automatiquement des articles de la base de connaissances.
      • Fournissez le code de fermeture, les notes de fermeture, puis cliquez sur Fermer l’incident.
        Fermer la fenêtre contextuelle de l’incident de sécurité : fournissez le code de fermeture et les notes de fermeture.
      Remarque :
      Si l’analyste annule la boîte de dialogue Fermer l’incident de sécurité , il peut accéder à l’onglet Détails et basculer l’état de l’incident sur Fermer pour poursuivre la fermeture.