Créer un incident ou un incident de sécurité à partir d'une alerte

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Lorsqu'il est nécessaire d'escalader une alerte et de l'affecter à une autre personne afin que celle-ci résolve le problème sous-jacent, vous pouvez ouvrir un incident.

    Avant de commencer

    Rôle requis : evt_mgmt_admin, evt_mgmt_operator ou evt_mgmt_user

    Pourquoi et quand exécuter cette tâche

    Si l'application Réponse aux incidents de sécurité est activée, un incident de sécurité peut être créé.

    Vous pouvez créer manuellement des incidents et des incidents de sécurité à partir du formulaire d'alerte. Pour éviter les tâches en double, le système vérifie les conditions de tous les modèles de tâches avant de créer un incident.

    Vous pouvez personnaliser l'incident créé à l'aide du script Include EvtMgmtCustomIncidentPopulator.populateFieldsFromAlert. La personnalisation inclut le mappage des champs de l'alerte sur l'incident ou l'annulation de la création de l'incident en fonction de conditions personnalisées. Pour en savoir plus, consultez la rubrique Personnaliser les champs d'alertes.

    Vous pouvez renseigner les champs d'incident à l'aide de valeurs de champs d'alerte personnalisés qui sont renseignées à partir de champs d'informations supplémentaires. Utilisez le script Include EvtMgmtCustomIncidentPopulator pour copier les valeurs dans l'incident après avoir copié les données dans l'alerte. Pour en savoir plus, consultez la rubrique Personnaliser les champs d'alertes.

    Remarque :
    si l'application Security Incident Response est activée, le système de base inclut une règle d'action d'alerte appelée Créer des incidents de sécurité pour les alertes critiques. Cette règle d'action d'alerte crée des incidents de sécurité lorsque des événements de sécurité critiques sont signalés.

    Procédure

    1. Accédez à la Tout > Gestion des événements > Toutes les alertes.
    2. Cliquez sur le numéro d'alerte.
    3. Pour créer un incident :
      • Pour créer un incident, cliquez sur Incident rapide.
      • Pour créer un incident de sécurité, cliquez sur Créer un incident de sécurité. Vous devez installer le module d'extension Security (secops) pour activer cette option.
    4. Cliquez sur Mettre à jour.

    Résultats

    L'incident créé figure dans le champ Tâche du formulaire d'alerte.