Gérer les menaces de sécurité à l’aide de l' Security Analyst Workspace

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Réponse aux incidents de sécurité comprend une nouvelle interface utilisateur appelée Qui Security Analyst Workspace comprend des outils puissants d’aide à l’analyse, notamment le playbook, la vue coup d’œil et des onglets pour travailler sur plusieurs incidents de sécurité.

    Spécialement conçus pour les analystes de sécurité, les puissants outils de l’vous Security Analyst Workspace permettent d’analyser le volume toujours croissant de données associées aux incidents de sécurité. De plus, les actions automatisées réduisent considérablement le temps d’enquête sur les incidents de sécurité, ce qui peut faire la différence entre l’arrêt d’une attaque et la violation d’une violation.

    Avant d’utiliser l’option Security Analyst Workspace

    Avant de pouvoir commencer à utiliser le Security Analyst Workspace, vous devez vous assurer qu’au moins London Patch 3 est installé sur votre instance, que vous avez défini les rôles appropriés et que vous disposez de a téléchargé l’application Security Incident Response UI à partir du ServiceNow Store.
    Remarque :
    Si votre instance exécute une version antérieure à London Patch 3, vous devez demander le module d’extension Security Incident Response UI via le système HI Customer Service.

    Accéder à Security Analyst Workspace

    Pour accéder à ce nouvel espace de travail, accédez à Incident de sécurité > Incidents (nouvelle UI).

    Figure 1. Incident de sécurité
    Barre de navigation de l’incident de sécurité

    L’espace de travail s’ouvre dans un onglet de navigateur distinct.

    Figure 2. Incidents de sécurité
    Tous les incidents de sécurité ouverts

    Localisez les incidents de sécurité que vous souhaitez analyser avec les filtres rapides

    Le Security Analyst Workspace fournit plusieurs outils pour filtrer la liste des incidents de sécurité afin que vous puissiez trouver rapidement les incidents de sécurité que vous souhaitez analyser. Les filtres rapides vous permettent de sélectionner un sous-ensemble d’incidents de sécurité en fonction des critères du filtre.
    Figure 3. Filtres rapides
    Filtres rapides

    Il vous suffit de cliquer sur le filtre rapide que vous souhaitez utiliser.

    Remarque :
    Vous pouvez cliquer sur un bouton Modifier pour identifier les filtres rapides que vous souhaitez afficher sur l’écran de liste. Un filtre minimum doit être sélectionné, jusqu’à un maximum de six.

    Vous pouvez définir des filtres rapides supplémentaires, ainsi que des filtres primaires pour le , à l’aide de Security Analyst Workspacel’environnement classique. Pour plus d'informations, consultez Configurer des filtres primaires et secondaires pour Security Analyst Workspace.

    Personnaliser la liste des incidents de sécurité

    Comme pour toutes les listes de votre instance, le Security Analyst Workspace fournit des outils pour personnaliser la liste et trier les informations affichées afin de répondre à vos besoins d’analyse.
    Figure 4. Personnaliser la liste des incidents de sécurité
    Options de filtrage de la liste des incidents de sécurité

    Gagnez du temps avec le mode Coup d’œil

    Avant d’ouvrir un enregistrement d’incident de sécurité, vous pouvez gagner du temps en utilisant le mode Coup d’œil. Cette fonctionnalité vous permet de localiser rapidement les artefacts de sécurité vitaux sans avoir à recharger la page entière. Il vous suffit de cliquer sur l’icône de > à gauche d’un numéro d’incident de sécurité pour en jeter un coup d’œil.

    Figure 5. Vue coup d’œil
    Incident de sécurité montrant la vue en un coup d’œil
    Le mode d’aperçu fournit un instantané des informations vitales dans une vue unique. Cette vue peut vous faire gagner un temps précieux lorsque vous travaillez sur plusieurs incidents. Vous pouvez cliquer sur les flèches vers le bas de certains champs pour effectuer des mises à jour à la volée, telles que l’affectation d’un groupe d’affectation ou d’un analyste spécifique.
    Figure 6. Aperçu des détails
    Détails du coup d’œil

    Effectuer des actions rapides sur un incident de sécurité

    Une fois que vous avez sélectionné et ouvert un incident de sécurité spécifique, vous pouvez effectuer des actions permettant de gagner du temps sur l’enregistrement.
    • Si votre incident de sécurité est ouvert, cliquez sur l’icône Modifier l’enregistrement pour apporter des modifications rapides à l’un de ses champs. Si l’enregistrement est fermé, vous ne pouvez modifier que sa balise.
    • Cliquez sur Gérer les pièces jointes pour joindre des fichiers à l’incident de sécurité. Vous pouvez également télécharger ou supprimer des fichiers joints et modifier le chiffrement appliqué aux pièces jointes.
    • Cliquez sur Composer un e-mail pour envoyer un e-mail rapide à un collègue. Les e-mails peuvent être de forme libre ou vous pouvez envoyer des e-mails prédéfinis sélectionnés dans une liste de modèles. Les e-mails envoyés et les réponses reçues sont capturés dans la chronologie des incidents.
      Remarque :
      Vous pouvez créer des modèles personnalisés qui contiennent du contenu réutilisable pour les e-mails et les notifications par e-mail. Les variables peuvent être utilisées pour insérer des informations spécifiques à l’incident de sécurité ou à l’alerte, telles que la ligne d’objet, la priorité ou la catégorie de menace. Utilisez la table Incident de sécurité [sn_si_incident] pour les e-mails et les notifications par e-mail associés à Réponse aux incidents de sécurité. Pour plus d’informations, voir Modèles d’e-mail
    • Cliquez sur Plus pour afficher un instantané rapide de l’incident de sécurité, tel que la description, l’impact sur l’entreprise et la priorité. Vous pouvez également cliquer sur la flèche vers le bas dans les champs Groupe d’affectation et Affecté à pour apporter des modifications à la volée à ces champs.
    Figure 7. Groupe d'affectation
    Actions rapides

    Travailler avec plusieurs incidents de sécurité

    L’interface à onglets vous permet de garder plusieurs incidents de sécurité ouverts simultanément afin de pouvoir passer de l’un à l’autre en un seul clic. Cela peut vous faire gagner du temps et vous permettre d’avoir une vue d’ensemble lorsque des menaces provenant de plusieurs sources sont identifiées.
    Figure 8. Travailler avec plusieurs incidents de sécurité
    Interface à onglets d’incident de sécurité

    Afficher les informations d’analyse dans les onglets d’incident de sécurité

    Lorsque vous ouvrez un enregistrement d’incident de sécurité, trois onglets s’affichent :
    • Vue d'ensemble
    • Explorer
    • Chronologie des incidents

    Onglet Vue d'ensemble

    Utilisez l’onglet Vue d’ensemble pour afficher les informations d’un incident de sécurité à un seul emplacement. Inutile d’ouvrir une autre application ou console.
    Figure 9. Vue d'ensemble
    Vue d’ensemble de l’onglet
    Les vignettes affichées dans l’onglet Vue d’ensemble sont personnalisables. Vous pouvez les réduire et les développer selon vos besoins, et vous pouvez les déplacer en faisant glisser l’icône Poignée . Cliquez sur l’icône Autres options pour supprimer une vignette ou modifier son texte d’en-tête.
    Figure 10. Onglet Vue d'ensemble
    Naviguer dans l’onglet Vue d’ensemble.

    Onglet Explorer

    Configurez les vignettes affichées dans l’onglet Vue d’ensemble à l’aide de l’onglet Explorer . Il vous suffit de sélectionner les tuiles que vous souhaitez afficher dans le volet de gauche, puis de cliquer sur l’icône Épingler . Les vignettes épinglées s’affichent automatiquement dans l’onglet Vue d’ensemble .
    Figure 11. Onglet Expore
    Épingler à la vue d'ensemble
    Le volet gauche de l’onglet Explorer comprend une grande variété d’informations que vous pouvez afficher dans l’onglet Vue d’ensemble . Par exemple, développez Observables pour afficher ces listes connexes.
    • Observables
    • Résultats de la recherche de menace
    • Résultats de l’analyse de sécurité
    • Recherches de domaine
    • Enrichissement des éléments observables

    D’autres listes connexes sont disponibles sous Utilisateurs, Éléments de configuration et Incidents.

    Onglet Chronologie de l’incident

    Utilisez l’onglet Chronologie des incidents au cours de votre enquête à des fins de suivi. Chaque fois qu’une action est effectuée sur un incident de sécurité, le système l’enregistre dans la chronologie de l’incident.
    • Vous pouvez également ajouter manuellement des notes de travail à la chronologie en les saisissant dans la zone Ajouter des notes de travail et en cliquant sur Publier.
    • Vous pouvez rechercher une activité de chronologie spécifique à l’aide de la zone de recherche.
    • L’icône Filtrer l’activité vous permet d’afficher uniquement les types d’activités de chronologie que vous souhaitez voir (par exemple, uniquement les incidents créés par un analyste spécifique).
    • Vous pouvez ajouter ou supprimer la chronologie des incidents à partir de l’onglet Vue d’ensemble à l’aide de l’icône Épingler/Détacher .
    Figure 12. Onglet Chronologie de l’incident
    Chronologie des incidents

    Gérer les incidents de sécurité à l’aide du Playbook

    Résolvez certains types de menaces à la sécurité étape par étape à l’aide des playbooks d’analyste de la sécurité intégrés. Par exemple, un analyste peut utiliser le playbook pour résoudre les attaques de hameçonnage et les menaces causées par des activités de code malveillant. Pour plus d'informations, consultez Résoudre les menaces de sécurité avec le playbook.