Référence de l’assistant de configuration
L’assistant de configuration vous guide tout au long des étapes à suivre pour configurer le système de Réponse aux incidents de sécurité base. Cette section fournit des informations supplémentaires sur les étapes compliquées pour lesquelles vous pourriez avoir besoin de plus d’explications.
Créer une définition de Réponse aux incidents de sécurité processus
Vous pouvez créer une définition de processus pour définir la façon dont les incidents de sécurité passent d’un état à l’autre. Les définitions de processus permettent aux centres de services et aux utilisateurs finaux de suivre le problème tout au long de son cycle de vie.
Avant de commencer
Rôle requis : sn.si_admin
Procédure
Comprendre la définition du processus de Security Incident Response
Réponse aux incidents de sécurité Définition du processus Remplace les flux d’états et fournit aux utilisateurs finaux et aux centres de services l’état d’un problème. Une définition de processus permet de suivre le problème tout au long de son cycle de vie. Réponse aux incidents de sécurité est une application de Gestion des services (SM) qui possède son propre ensemble d’états. Les états non valides sont signalés comme faisant partie de Sélection du processus.
Définition du processus de Réponse aux incidents de sécurité
| État | Description |
|---|---|
| Brouillon | L’initiateur de la demande ajoute des informations sur l’incident de sécurité, mais celles-ci ne sont pas encore prêtes à être traitées. |
| Analyse | L’incident a été affecté et le problème est en cours d’analyse. |
| Contenir | Le problème a été identifié et le personnel de sécurité s’efforce de le contenir et de limiter les dégâts. Ces actions peuvent inclure la mise hors ligne des serveurs, la déconnexion de l’équipement d’Internet et la vérification de l’existence de sauvegardes. |
| Éradiquer | Le problème a été maîtrisé et le personnel de sécurité prend des mesures pour le résoudre. |
| Récupérer | Le problème est résolu et l’état de préparation opérationnelle des systèmes affectés est en cours de vérification. |
| Réviser | L’incident de sécurité est terminé et tous les systèmes ont repris leur fonctionnement normal, mais un examen post-incident reste nécessaire. |
| Fermé | L’incident est terminé, mais avant qu’un incident de sécurité puisse être fermé, vous devez renseigner les informations dans l’onglet Informations sur la fermeture . |
Définitions des processus de tâche d’incident de sécurité
Les définitions de processus suivantes sont utilisées pour les tâches d’incident de sécurité.
| État | Description |
|---|---|
| Prêt | La tâche est prête à être traitée une fois affectée à un agent. |
| Affecté | La tâche est affectée à un agent. |
| Travail en cours | L’agent affecté travaille sur la tâche. |
| Terminer | La tâche est terminée. |
| Annulé | La tâche a été annulée. |
Le NIST prend en charge les deux modèles suivants :
- NIST Stateful
Cette définition de processus permet aux analystes de passer d’un état à un autre dans un ordre séquentiel sans ignorer aucune étape. Par exemple, si l’analyste commence par l’état Brouillon , l’ordre séquentiel de cette définition de processus est Brouillon>Analyse>Contenir>Éradiquer>Récupérer. Ainsi, la définition du processus avec état NIST est unidirectionnelle et permet aux analystes de progresser uniquement vers les états directs.
Voici un autre exemple : si l’analyste commence par l’état Analyse, l’ordre séquentiel de cette définition de processus est Analyse>Contenir>Éradiquer>Récupérer.
- NIST Open
Cette définition de processus permet aux analystes de passer d’un état à un autre, en avant ou en arrière. Par exemple, si l’analyste commence par l’état Analyse , l’ordre de la définition du processus peut être Analyse>Contenir>Éradiquer>Récupérer ou Analyse>Brouillon. Ainsi, la définition du processus NIST Open est bidirectionnelle et permet aux analystes de passer à des états en avant ou en arrière en fonction de leurs besoins.
Sélection du processus de Security Incident Response
Réponse aux incidents de sécurité La sélection de processus répertorie les processus présentant des états non valides pour les incidents de sécurité et les tâches de réponse.
Un administrateur peut corriger l’incident ou la tâche pour rétablir des états valides manuellement ou à l’aide d’un script. Une liste connexe vide (aucun incident ; aucune tâche) indique que chaque tâche active est dans un état valide. Les états disponibles varient en fonction de l’état actuel de l’incident. Pour plus d'informations, consultez Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus.
Sélectionner une définition de Réponse aux incidents de sécurité processus
Vous pouvez sélectionner la définition de processus à utiliser pour les états appropriés pour les incidents de sécurité et les tâches de réponse de votre entreprise.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Procédure
-
Cliquez sur l’icône de recherche pour répertorier les définitions de processus disponibles.
Créer un script include de définition de processus personnalisé Réponse aux incidents de sécurité
Créez un script de définition de processus personnalisé pour les états appropriés des incidents de sécurité et des tâches de réponse de votre entreprise.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Procédure
-
Renseignez les champs comme il convient.
Tableau 4. Création de définitions de processus Champ Description Nom Nom de l’include de script. Nom de l'API Créé en fonction du nom de l’include de script. Client joignable Met l’include de script à la disposition des scripts clients, des filtres de liste et de rapport, des qualificatifs de référence ou, s’il est spécifié, dans le cadre de l’URL. Demande Incident de sécurité Accessible depuis Choisissez Ce périmètre de l’application uniquement . Actif Lorsque cette option est cochée, cet include de script peut être sélectionné à partir de la page Définition du processus . Description Informations utiles sur l’include de script. Script Définit le script côté serveur à exécuter lorsqu’il est appelé à partir d’autres scripts. Le script doit définir une seule classe JavaScript ou une fonction globale. Le nom de classe ou de fonction doit correspondre au champ Nom.
Pour plus d’informations sur le contenu des scripts, reportez-vous à la section Script include de définition de processus.
Script include de définition de processus
L’include de script de définition de processus fournit des méthodes pour définir une définition de processus.
Implémentez les constantes, les attributs, les tableaux et les appels de méthode décrits ici pour personnaliser un script include de définition de processus.
Où l’utiliser
Utilisez cet include de script pour créer une définition de processus.
Corps du script include
- Constantes : définitions de l’état initial
- Tâche Security Incident and Response : tableaux de définition de processus
- Appels de méthode : récupération d’informations
Constantes
Les constantes sont utilisées pour définir les états initiaux des incidents de sécurité et des tâches de réponse.
INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,
Qui sont utilisées ultérieurement par les méthodes suivantes :
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},L’ensemble suivant de constantes définit les états des incidents de sécurité et des tâches de réponse.
Chaque tableau contient également la définition des états disponibles lorsque l’incident ou la tâche est dans un état spécifique.
TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
{state:10, label:"Ready", choice:[10, 16]},
{state:16, label:"Assigned", choice:[16, 18]},
{state:18, label:"Work in Progress", choice:[18, 3]},
{state:3, label:"Close Complete", choice:[]},
{state:7, label:"Cancelled", choice:[]},
],L’exemple est un tableau d’objets. Chaque objet définit un état et des états de transition possibles.
L’ordre de l’objet de l’état détermine l’ordre souhaité pour le flux.
Lorsque la tâche est à l’état « Brouillon » (valeur 1), les états possibles sont : 1 (Brouillon, ce qui n’a pas changé) et 10 (Prêt, la prochaine étape du processus).
Il n’y a pas de limite au nombre de transitions hors d’un état. Les états « Fermé terminé » et « Annulé » sont des états finaux et n’ont donc pas de transitions d’état possibles.
L’ordre des attributs dans l’objet n’a pas d’importance. Si cela rend la définition plus claire, mettez l’étiquette en premier.
Attributs
- État : valeur numérique de l’état
- Étiquette : texte lisible par l’homme associé à l’état
- Choix : un tableau de valeurs d’état vers lesquelles l’état peut effectuer la transition (détermine le contenu de la liste déroulante d’état)
- obligatoire : liste des ID de champs qui deviennent obligatoires dans cet état
- readonly : liste des ID de champs qui passent en lecture seule dans cet état
- visible : liste des ID de champs qui deviennent visibles dans cet état
- notmandatory : liste des ID de champs qui deviennent non obligatoires dans cet état
- notvisible : liste des ID de champs qui ne seraient plus visibles dans cet état
Si des attributs facultatifs sont utilisés, il est de la responsabilité de l’auteur de s’assurer que les champs sont rendus visibles/invisibles, obligatoires/non obligatoires, visibles/masqués ou en lecture seule de manière appropriée entre les états.
Par exemple, masquer un champ dans un état ne le rend pas visible dans un autre état ultérieurement, sauf si l’attribut « visible » est utilisé.
Tableaux de définition de flux de processus
Pour définir les informations affichées dans le formateur de flux de processus (barre en haut des formulaires de tâche Security Incident et Response), le système a besoin d’informations sur ce qu’il faut afficher pour chaque état.
TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
{label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
{label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
{label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
{label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],Le tableau TASK_PF est une collection d’étiquettes, de conditions et de descriptions utilisées pour déterminer le texte affiché dans la barre du formateur de processus (y compris l’ordre et l’activité).
Dans l’exemple, le texte « Prêt » est le deuxième élément affiché. Elle est mise en surbrillance lorsque la tâche satisfait à la condition « state=10^EQ ».
Lorsque le pointeur survole le texte, la description « La tâche Réponse aux incidents de sécurité est prête à être affectée » s’affiche.
Les états peuvent être combinés en un seul état de formateur.
Dans l’exemple, les états « Fermé terminé » et « Annulé » s’affichent comme « Fermé » dans la barre supérieure.
Appels de méthodes
| Type de retour | Résumé de la méthode | Description |
|---|---|---|
| Chaîne | getInitialIncidentState : fonction() | Renvoyer la valeur numérique de l’état de l’incident initial |
| Chaîne | getInitialTaskState : fonction() : | Renvoyer la valeur numérique de l’état de la tâche initiale |
| Tableau de chaîne | getIncidentStates : fonction() : | Renvoyer le tableau de l’état de l’incident |
| Tableau de chaîne | getTaskStates : fonction() : | Renvoyer le tableau de l’état de la tâche |
| Tableau d’objets | getIncidentProcessFlows : fonction() : | Renvoyer le tableau de définition du flux de processus de l’incident |
| Tableau d’objets | getTaskProcessFlows : fonction() : | Renvoyer le tableau de définition du flux de processus de tâche |
L’ensemble de méthodes suivant est appelé chaque fois qu’un incident ou une tâche est mis à jour et permet de prendre des mesures sur des transitions de changement spécifiques.
| Type de retour | Résumé de la méthode | Description |
|---|---|---|
| nul | performIncidentStateChange : fonction(current, précédent) | Dans les exemples, cette méthode est utilisée pour définir les valeurs liées à SM et s’assurer qu’un incident passe de l’état « Brouillon » une fois qu’une personne lui est affectée. |
| nul | performTaskStateChange : fonction (current, previous) | Dans l’exemple, cette méthode est utilisée pour mettre à jour les horodatages (lors de l’affectation et de la fermeture) et faire passer la tâche de « Prêt » à « Affecté » une fois le champ assigned_to renseigné. |
Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus
Un administrateur peut corriger l’incident ou la tâche de sécurité sur des états valides, manuellement ou à l’aide d’un script. Les états disponibles varient en fonction de l’état actuel de l’incident.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Pour changer les états en bloc, procédez comme suit :
Procédure
-
Double-cliquez sur le champ État du premier enregistrement, sélectionnez le nouvel état, puis cliquez sur la coche verte ( coche
) pour terminer la modification.
Créer un groupe d’incidents de sécurité
Configurez un groupe d’incidents de sécurité et affectez-lui les rôles et les utilisateurs appropriés.
Avant de commencer
- Si vous disposez du rôle user_admin, vous pouvez créer des groupes d’affectation d’incidents de sécurité.
- Si vous disposez du rôle sn_si.admin, vous pouvez créer et modifier des groupes d’affectation d’incidents de sécurité.
Pourquoi et quand exécuter cette tâche
Il est recommandé de créer autant de groupes que nécessaire dans votre organisation. Il est également recommandé de créer un groupe pour les administrateurs et de n’affecter le rôle administrateur qu’à ce groupe.
Procédure
-
Veillez à sélectionner le type d’incident de sécurité pour ce groupe.
- Si le champ Type n’est pas visible, configurez le formulaire pour l’ajouter.
- Cliquez sur l'icône de verrouillage à côté du champ Type.
-
Cliquez sur
de recherche de référence (icône de recherche).
- Recherchez et sélectionnez le type d’incident de sécurité .
Créer un groupe de calculateurs d’incidents de sécurité
Les groupes de calculateurs d’incidents de sécurité sont utilisés pour regrouper les calculateurs.
Avant de commencer
Procédure
Créer un calculateur d’incident de sécurité
Les calculateurs d’incidents de sécurité vous permettent de calculer la gravité d’un incident de sécurité en fonction de formules prédéfinies. Vous pouvez définir vos propres calculateurs d’incident de sécurité, selon vos besoins.
Avant de commencer
Procédure
Comprendre les calculateurs d’incidents de sécurité
Les calculateurs d’incidents de sécurité sont utilisés pour mettre à jour les valeurs d’enregistrement lorsque des conditions prédéfinies sont remplies. Les calculateurs sont regroupés en fonction des critères utilisés pour déterminer le mode de mise à jour des enregistrements.
Le Réponse aux incidents de sécurité système de base comprend les groupes de calculateurs et les calculateurs d’incidents de sécurité suivants. Dans chaque groupe, le premier calculateur correspondant aux conditions est exécuté.
| Nom du groupe du calculateur d’incidents de sécurité | Calculateurs inclus dans le groupe | Description |
|---|---|---|
| Impact sur l'entreprise | Regrouper à partir des calculateurs de gravité | Ce calculateur délègue au calculateur de criticité de sécurité qui détermine la criticité en pondérant les valeurs d’autres champs. |
| Gravité | Impact sur l'entreprise | Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple. |
| Service critique affecté | Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée. Si l’élément de configuration dans l’incident de sécurité est associé à un service d’entreprise hautement critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur. |
|
| Changements de services critiques | Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée. Si l’incident de sécurité remplit les conditions, un script s’exécute pour définir les niveaux auxquels les champs sont élevés. Si l’élément de configuration dans l’incident de sécurité est associé à un service d’entreprise très critique ou quelque peu critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur. |
|
| Vecteurs d’attaques multiples | Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple. Si l’élément de configuration de l’incident de sécurité est associé à des vecteurs d’attaque Web, par e-mail et par emprunt d’identité, le score de risque, l’impact sur l’entreprise et les champs Priorité sont élevés comme défini par le calculateur. |
|
| Définir la priorité avec la catégorie et les services | Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé. La priorité de l’incident de sécurité est définie sur 1 - Critique lorsque les conditions suivantes sont remplies :
Remarque : Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Opération de sécurité de démarrage. |
|
| Définir la priorité avec les observables | Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé. La priorité de l’incident de sécurité est définie sur 1 - Critique lorsque les conditions suivantes sont remplies :
Remarque : Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Opération de sécurité avancée et que vous activez le module d’extension Flux de menaces. |
|
| Criticité de l'utilisateur | Obtenir la criticité de l'utilisateur | Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple. Ce calculateur de gravité fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est changé en Finances. |
| Obtenir la criticité du groupe d'utilisateurs | Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé. Ce calculateur de gravité fournit un exemple de calculateur qui s’exécute sur les données d’une liste connexe. |
Calculateurs de gravité
Lorsque vous créez un incident de sécurité, les champs Score de risque, Impact sur l’entreprise et Priorité contiennent des valeurs par défaut. Lorsque vous enregistrez l’incident, une règle métier valide automatiquement les informations contenues dans l’incident de sécurité par rapport aux conditions définies dans chacun de vos calculateurs de gravité actifs. Ils sont validés un calculateur de sécurité à la fois, dans l’ordre défini par le champ Ordre de chaque calculateur. Si les informations contenues dans l’incident de sécurité correspondent aux conditions définies dans l’un des calculateurs, les valeurs des champs de gravité sont mises à jour en fonction des règles définies dans le calculateur.
Supposons, par exemple, que vous créez un incident de sécurité pour un CI affecté et que le CI est très critique. Lorsque l’incident de sécurité est enregistré, les informations de CI sont comparées aux conditions définies dans les calculateurs de gravité. Lorsque l’incident de sécurité est validé par rapport au calculateur de gravité affecté par le service critique , les champs de gravité sont automatiquement mis à jour et un message similaire au suivant s’affiche en haut de l’incident de sécurité.
- [Vecteur d’attaque] [contient] [Web]
- [Vecteur d’attaque] [contient] [Courriel]
- [Unité business] [contient] [Finances]
Vous pouvez également mettre à jour les valeurs de gravité d’un incident de sécurité existant à tout moment en ouvrant l’enregistrement et en cliquant sur le lien connexe Calculer la gravité .
Calculateurs de score de risque d’incidents de sécurité
Les calculateurs Définir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer un score de risque pour un incident de sécurité.
Calculateurs de criticité utilisateur
Les deux calculateurs du groupe de criticité de l’utilisateur (Obtenir la criticité de l’utilisateur et Obtenir la criticité du groupe d’utilisateurs) fournissent des exemples de la façon dont vous pouvez gérer la criticité en fonction de critères définis dans un enregistrement utilisateur ou en fonction du groupe auquel un utilisateur appartient.
Elles peuvent être modifiées si nécessaire ou de nouveaux calculateurs de criticité utilisateur peuvent être créés.
Le calculateur Obtenir la criticité de l’utilisateur fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est changé en Finances.
var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].Calculs du score de risque d’incidents de sécurité
Le score de risque est calculé comme une moyenne arithmétique qui représente le risque en fonction de la priorité d’un incident de sécurité, du type d’incident de sécurité (déni de service, harponnage ou activité de code malveillant) et du nombre de sources qui ont déclenché un score de réputation échoué sur un indicateur.
- Calculer la gravité
- Mettre à jour le score de risque
- Mettre à jour le score de risque SI
Par exemple, si un incident de sécurité a un impact sur l’entreprise défini sur 2-Élevé et une priorité définie sur 3-Modéré, les poids respectifs dans la table des pondérations du score de risque sont recherchés et calculés comme suit :
Impact opérationnel de l’incident de sécurité avec une valeur de 2 = un poids de 60.
Priorité de l’incident de sécurité avec une valeur de 3 = un poids de 40.
(60 + 40)/2 = un score de risque de 50.
La position de l’incident de sécurité dans la liste des incidents de sécurité est ensuite réorganisée en fonction de son score de risque mis à jour.
- Impact sur l’activité du formulaire d’incident de sécurité
- Priorité sur le formulaire d’incident de sécurité
- Gravité sur le formulaire d’incident de sécurité (masqué par défaut)
- Impact sur l’activité sur la liste connexe Utilisateurs affectés
- Impact sur l’activité sur la liste connexe Services affectés
- Impact sur l’activité des vulnérabilités sur la liste connexe des éléments vulnérables
- Lorsqu’une association entre les utilisateurs affectés et un incident de sécurité est créée ou modifiée
- Lorsqu’une association entre les services affectés et un incident de sécurité est créée ou modifiée
- Lorsqu’une association entre des éléments vulnérables et un incident de sécurité est créée ou modifiée
Les notes de travail sont également mises à jour chaque fois que l’utilisateur clique sur Mettre à jour tous les scores de risque et Effacer tous les scores de risque sur le formulaire Poids des scores de risque .
Gérer les pondérations des scores de risque
Les pondérations des scores de risque utilisées pour calculer les scores de risque dans les incidents de sécurité peuvent être supprimées ou mises à jour individuellement. Ils peuvent également être supprimés ou mis à jour pour tous les incidents de sécurité. La possibilité de les supprimer des incidents de sécurité est utile lors du changement des valeurs de poids.
Avant de commencer
Procédure
Créer un Réponse aux incidents de sécurité SLA
Vous pouvez définir un accord sur les niveaux de service (SLA) pour Réponse aux incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.admin
Procédure
Réparer les SLA d’incidents de sécurité
Vous pouvez réparer les enregistrements SLA pour vous assurer que les informations de calendrier et de durée des SLA sont exactes.
Avant de commencer
Procédure
-
Cliquez sur le menu contextuel de l’en-tête du formulaire et sélectionnez Réparer les SLA :
Créer un Runbook de réponse aux incidents de sécurité
Un Runbook est une association entre un article de la base de connaissances publié et une tâche spécifique. Pendant que vous effectuez la tâche, un article de la base de connaissances dans le Runbook s’ouvre automatiquement et fournit des informations pertinentes pour la tâche.
Avant de commencer
Rôle requis : sn.si.knowledge_admin
Pourquoi et quand exécuter cette tâche
Procédure
Créer des règles pour valider les attaques par hameçonnage signalées par un utilisateur
Lorsque vos employés reçoivent des e-mails qui semblent être des attaques de phishing, ils peuvent vous les signaler à l’aide d’une adresse e-mail de phishing. L’e-mail suspect est validé à l’aide de règles définies par votre organisation.
Avant de commencer
- Définissez une adresse e-mail telle que acme+phishing@service-now.com. La balise +phishing est prise en charge par SMTP pour activer le filtrage et votre instance peut recevoir les e-mails qui lui sont envoyés.
- Définissez une adresse e-mail, telle que phishing@acme.com (votre boîte aux lettres Exchange), qui la transmet à son tour à acme+phishing@service-now.com (votre boîte aux lettres d’instance définie par une règle de transfert de courrier).
Rôle requis : sn_sec_cmn.write
Pourquoi et quand exécuter cette tâche
Lorsqu’un employé rencontre un e-mail suspect, il doit le transférer en pièce jointe à votre adresse e-mail d’hameçonnage. Si l’e-mail en pièce jointe correspond à une règle définissant une menace, un incident de sécurité est créé.