Créer un incident de sécurité à partir de la liste Incident de sécurité

Gestion de la sécurité Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

Créer un incident de sécurité à partir de la liste Incident de sécurité

Rversion finale: Xanadu

Mis à jour 1 août 2024

5 minutes de lecture

Outre les méthodes automatiques de création des incidents de sécurité, vous pouvez les créer manuellement, selon les besoins.

Cette vidéo montre une vue d’ensemble visuelle de la création d’un incident de sécurité à partir de la liste Incidents de sécurité.

Avant de commencer

Rôle requis : sn_si.basic

Procédure

Accédez à n’importe quelle liste d’incidents de sécurité (par exemple, Tout > Incident de sécurité > Incidents > Afficher les incidents).
Cliquez sur Nouveau.

Renseignez les champs du formulaire.


Champ	Description
Sélectionner une balise de sécurité	Si nécessaire, sélectionnez une balise de sécurité pour ajouter des métadonnées à l’enregistrement ou identifier qui doit avoir accès à cet enregistrement d’incident de sécurité. Ce champ s’affiche uniquement une fois que l’incident de sécurité a été enregistré.
Numéro	[Lecture seule] Le numéro d’incident de sécurité.
Demandés par	La personne demandant l’exécution du travail.
ID d'élément de configuration	Serveur, ordinateur, routeur ou autre élément de configuration affecté par le problème de sécurité.
Utilisateur affecté	La personne affectée par le problème de sécurité.
Emplacement	L’emplacement du demandeur ou de la ressource. Si aucun élément de configuration n’est sélectionné, ce champ est pré-rempli avec l’emplacement du demandeur.
Catégorie	Catégorie qui identifie le type de problème de sécurité. Si une catégorie est sélectionnée, un workflow d’analyse de ce problème est exécuté lorsque l’enregistrement est enregistré. Par exemple, si vous sélectionnez Déni de service, le workflow Incident de sécurité - Déni de service - Modèle est exécuté. Pour plus d'informations, consultez Modèles de workflow Security Incident Response.
Sous-catégorie	Sous-catégorie qui précise le problème.
Ouverts	[Lecture seule] Affiche la date et l’heure d’ouverture de l’incident.
État	État actuel de l’incident de sécurité. Lors de la création d’un incident de sécurité, ce champ est défini par défaut sur Brouillon.
Sous-état	Identifie si l’incident de sécurité inclut un problème ou un changement en attente.
Source	Identifie la source de l’incident de sécurité, par exemple un e-mail, un appel téléphonique ou une surveillance du réseau.
Capteur d'alerte	Intégration de sécurité via laquelle vous ingérez les données d’alerte ou d’événement telles que CarbonBlack, CrowdStrike, McAfee, etc.
Règle d'alerte	Règle du produit de sécurité qui a déclenché la création de cet incident de sécurité.
Score du risque	Affiche le score de risque calculé pour cet incident de sécurité. La valeur est basée sur la priorité de l’incident de sécurité, le type d’incident de sécurité (déni de service, harponnage ou activité de code malveillant) et le nombre de sources qui ont déclenché un score de réputation échoué sur un indicateur. Le score de risque aide à hiérarchiser le travail des analystes sur les incidents de sécurité. Trois propriétés d’incident de sécurité vous permettent de désigner un point à code couleur à afficher à côté du score de risque dans la vue de liste afin de les rendre plus facilement identifiables. Si vous apportez des modifications à certains champs de l’incident de sécurité, tels que l’impact sur l’entreprise ou la priorité, et que vous sauvegardez l’enregistrement, le score de risque est automatiquement recalculé et affiché. Le changement est également reflété dans les notes de travail et sur la liste connexe des audits de score de risque. Remarque : Le score de risque est également recalculé lorsque les utilisateurs affectés sont associés à un incident de sécurité, à des services affectés ou à des éléments vulnérables. Vous pouvez également saisir manuellement un nouveau score de risque. Cela peut être utile si vous souhaitez qu’un incident de sécurité particulier reste en tête de la liste des incidents de sécurité que vous analysez. Si vous saisissez un nouveau score de risque, la case Remplacer le score de risque est automatiquement cochée. Quels que soient les changements apportés à l’incident de sécurité, un score de risque saisi manuellement n’est pas automatiquement recalculé. Remarque : Si vous avez mis à niveau votre instance à partir d’une version antérieure, les scores de risque ont été calculés pour tous vos incidents de sécurité ouverts. Pour plus d'informations, consultez Comprendre les calculateurs d’incidents de sécurité.
Remplacement du score des risques	Cochez cette case pour remplacer la mise à jour automatique du score de risque. Le remplacement sera reflété dans les notes de travail.
Impact sur l'activité	Sélectionnez l’importance de cet incident de sécurité pour votre entreprise. La valeur par défaut est Non critique. Si, après l’enregistrement de l’incident de sécurité, vous modifiez la valeur dans les champs Priorité / ou Risque, l’impact sur l’entreprise est recalculé.
Priorité	Sélectionnez l’ordre dans lequel traiter cet incident de sécurité, en fonction de l’urgence. Si cette valeur est modifiée après la sauvegarde de l’enregistrement, cela peut affecter le calcul de l’impact sur l’entreprise .
Groupe d'affectation	Groupe auquel cet incident de sécurité est affecté.
Affecté à	Personne affectée à l’analyse de cet incident de sécurité. Les affectations peuvent être effectuées manuellement ou automatiquement. Pour plus d'informations, consultez Affectation des analystes de sécurité.
Description brève	Brève description de l’incident de sécurité.
Résultats de recherche dans la base de connaissances	Au fur et à mesure que vous saisissez la brève description, des liens vers des articles connexes de la base de connaissances s’affichent. L’analyse des informations pourrait résoudre votre problème.

Cliquez avec le bouton droit dans l’en-tête de l’enregistrement et sélectionnez Enregistrer.
Si vous avez ajouté un nouveau CI à l’incident de sécurité, les workflows d’intégration suivants sont automatiquement exécutés :
- Security Operations : workflow Obtenir les processus en cours d’exécution. Ce workflow récupère une liste des processus en cours d’exécution sur un élément de configuration (CI) à partir d’un hôte ou d’un point de terminaison.
- Réponse aux incidents de sécurité : workflow Obtenir les services d’exécution. Ce workflow récupère une liste des services en cours d’exécution à partir des CI Windows.
- Workflow Security Operations Integrations - Obtenir les statistiques réseau. Ce workflow récupère une liste de connexions réseau actives à partir d’un hôte ou d’un point de terminaison.
Pour afficher les informations récupérées par ces workflows, cliquez sur le lien connexe Afficher les données d’enrichissement , puis cliquez sur l’un des onglets indiqués.

Remarque :
Des workflows supplémentaires sont exécutés en fonction des intégrations tierces que vous avez activées comme suit Intégration de Security Operations Carbon Black : workflow Obtenir les processus en cours d’exécution