Gérer les menaces de sécurité à l’aide de l' Security Analyst Workspace

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Réponse aux incidents de sécurité inclut une nouvelle interface utilisateur appelée Qui Security Analyst Workspace propose de puissants outils d’aide à l’analyse, notamment le Playbook, la vue d’ensemble et les onglets permettant de travailler sur plusieurs incidents de sécurité.

    Spécialement conçus pour les analystes de sécurité, les puissants outils de l’vous Security Analyst Workspace permettent d’analyser le volume toujours croissant de données associées aux incidents de sécurité. De plus, les actions automatisées réduisent considérablement le temps d’enquête sur les incidents de sécurité, ce qui peut faire la différence entre l’arrêt d’une attaque et une violation.

    Avant d’utiliser le Security Analyst Workspace

    Avant de pouvoir commencer à utiliser le Security Analyst Workspace, vous devez vous assurer qu’au moins London Patch 3 est installé sur votre instance, que vous avez défini les rôles corrects et que vous avez a téléchargé l’application d’interface utilisateur Réponse aux incidents de sécurité à partir de ServiceNow Store.
    Remarque :
    Si votre instance exécute une version antérieure à London Patch 3, vous devez demander le module d’extension Security Incident Response UI via le système HI Customer Service.

    Accéder à Security Analyst Workspace

    Pour accéder à ce nouvel espace de travail, accédez à Incident de sécurité > Incidents (nouvelle interface utilisateur).

    Figure 1. Incident de sécurité
    Barre de navigation des incidents de sécurité

    L’espace de travail s’ouvre dans un onglet de navigateur distinct.

    Figure 2. Incidents de sécurité
    Tous les incidents de sécurité ouverts

    Localisez les incidents de sécurité que vous souhaitez analyser à l’aide des filtres rapides

    Le fournit Security Analyst Workspace plusieurs outils permettant de filtrer la liste des incidents de sécurité afin que vous puissiez trouver rapidement les incidents de sécurité que vous souhaitez analyser. Les filtres rapides vous permettent de sélectionner un sous-ensemble d’incidents de sécurité en fonction des critères contenus dans le filtre.
    Figure 3. Filtres rapides
    Filtres rapides

    Cliquez simplement sur le filtre rapide que vous souhaitez utiliser.

    Remarque :
    Vous pouvez cliquer sur un bouton Modifier pour identifier les filtres rapides que vous souhaitez afficher sur l’écran de liste. Un minimum d’un filtre doit être sélectionné, jusqu’à un maximum de six.

    Vous pouvez définir des filtres rapides supplémentaires, ainsi que des filtres primaires pour le , à l’aide de l’environnement Security Analyst Workspaceclassique. Pour plus d'informations, consultez Configurer des filtres primaires et secondaires pour Security Analyst Workspace.

    Personnaliser la liste des incidents de sécurité

    Comme pour toutes les listes de votre instance, fournit Security Analyst Workspace des outils permettant de personnaliser la liste et de trier les informations affichées pour répondre à vos besoins d’analyse.
    Figure 4. Personnaliser la liste des incidents de sécurité
    Options de filtrage de liste des incidents de sécurité

    Gagnez du temps avec la vue d’aperçu

    Avant d’ouvrir un enregistrement d’incident de sécurité, vous pouvez gagner du temps à l’aide de la vue d’aperçu. Cette fonctionnalité vous permet de localiser rapidement les artefacts de sécurité vitaux sans avoir à recharger la page entière. Cliquez simplement sur l’icône > à gauche d’un numéro d’incident de sécurité pour y jeter un coup d’œil.

    Figure 5. Vue d’ensemble
    Incident de sécurité affichant la vue d’aperçu
    La vue d’aperçu fournit un instantané des informations vitales en une seule vue. Cette vue peut vous faire gagner un temps précieux lorsque vous travaillez avec plusieurs incidents. Vous pouvez cliquer sur les flèches vers le bas de certains champs pour effectuer des mises à jour à la volée, telles que l’affectation d’un groupe d’affectation ou d’un analyste spécifique.
    Figure 6. Détails de la vue d’aperçu
    Détails de l’aperçu

    Effectuer des actions rapides sur un incident de sécurité

    Une fois que vous avez sélectionné et ouvert un incident de sécurité spécifique, vous pouvez effectuer des actions de gain de temps sur l’enregistrement.
    • Si votre incident de sécurité est ouvert, cliquez sur l’icône Modifier l’enregistrement pour apporter des modifications rapides à l’un de ses champs. Si l’enregistrement est fermé, vous ne pouvez modifier que sa balise.
    • Cliquez sur Gérer les pièces jointes pour joindre des fichiers à l’incident de sécurité. Vous pouvez également télécharger ou supprimer des fichiers joints et modifier le chiffrement appliqué aux pièces jointes.
    • Cliquez sur Composer un e-mail pour envoyer un e-mail rapide à un collègue. Les e-mails peuvent être de forme libre ou vous pouvez envoyer des e-mails prédéfinis sélectionnés dans une liste de modèles. Les e-mails envoyés et les réponses reçues sont capturés dans la chronologie des incidents.
      Remarque :
      Vous pouvez créer des modèles personnalisés contenant du contenu réutilisable pour les e-mails et les notifications par e-mail. Les variables peuvent être utilisées pour insérer des informations spécifiques à l’incident de sécurité ou à l’alerte, telles que la ligne d’objet, la priorité ou la catégorie de menace. Utilisez la table Incident de sécurité [sn_si_incident] pour les e-mails et notifications par e-mail associés à Réponse aux incidents de sécurité. Pour plus d’informations, voir Modèles d’e-mail
    • Cliquez sur Plus pour afficher un instantané rapide de l’incident de sécurité, tel que la description, l’impact sur l’entreprise et la priorité. Vous pouvez également cliquer sur la flèche vers le bas dans les champs Groupe d’affectation et Affecté à pour apporter des modifications à la volée à ces champs.
    Figure 7. Groupe d'affectation
    Actions rapides

    Travailler avec plusieurs incidents de sécurité

    L’interface à onglets vous permet de conserver plusieurs incidents de sécurité ouverts simultanément afin de pouvoir passer de l’un à l’autre en un seul clic. Cela peut vous faire gagner du temps et vous permettre d’avoir une vue d’ensemble lorsque des menaces provenant de plusieurs sources sont identifiées.
    Figure 8. Travailler avec plusieurs incidents de sécurité
    Interface à onglets d’incident de sécurité

    Afficher les informations d’analyse dans les onglets Incident de sécurité

    Lorsque vous ouvrez un enregistrement d’incident de sécurité, trois onglets s’affichent :
    • Vue d'ensemble
    • Explorer
    • Chronologie des incidents

    Onglet Vue d'ensemble

    Utilisez l’onglet Vue d’ensemble pour afficher les informations relatives à un incident de sécurité dans un seul emplacement. Pas besoin d’ouvrir une autre application ou console.
    Figure 9. Vue d'ensemble
    Onglet Vue d’ensemble
    Les tuiles affichées dans l’onglet Vue d’ensemble sont personnalisables. Vous pouvez les réduire et les développer selon vos besoins, et vous pouvez les déplacer en faisant glisser l’icône Poignée . Cliquez sur l’icône Autres options pour supprimer une tuile ou modifier son texte d’en-tête.
    Figure 10. Onglet Vue d'ensemble
    Contournement de l’onglet Vue d’ensemble.

    Onglet Explorer

    Configurez les tuiles affichées dans l’onglet Vue d’ensemble à l’aide de l’onglet Explorer . Sélectionnez simplement les tuiles que vous souhaitez afficher dans le volet gauche et cliquez sur l’icône Épingler . Les tuiles épinglées apparaissent automatiquement dans l’onglet Vue d’ensemble .
    Figure 11. Onglet Expore
    Épingler à la vue d’ensemble
    Le volet gauche de l’onglet Explorer comprend une grande variété d’informations que vous pouvez afficher dans l’onglet Vue d’ensemble . Par exemple, développez Observables pour afficher ces listes connexes.
    • Observables
    • Résultats de la recherche de menace
    • Résultats de l’analyse de sécurité
    • Recherches de domaine
    • Enrichissement des éléments observables

    Des listes connexes supplémentaires sont disponibles sous Utilisateurs, Éléments de configuration et Incidents.

    Onglet Chronologie des incidents

    Utilisez l’onglet Chronologie des incidents au cours de votre enquête à des fins de suivi. Chaque fois qu’une action est effectuée sur un incident de sécurité, le système l’enregistre dans la chronologie des incidents.
    • Vous pouvez également ajouter manuellement des notes de travail à la chronologie en les saisissant dans la zone Ajouter des notes de travail et en cliquant sur Publier.
    • Vous pouvez rechercher une activité de chronologie spécifique à l’aide de la zone de recherche.
    • L’icône Filtrer l’activité vous permet d’afficher uniquement les types d’activité de chronologie que vous souhaitez afficher (par exemple, uniquement les incidents créés par un analyste spécifique).
    • Vous pouvez ajouter ou supprimer la chronologie des incidents à partir de l’onglet Vue d’ensemble à l’aide de l’icône Épingler/Désépingler .
    Figure 12. Onglet Chronologie des incidents
    Chronologie des incidents

    Gérer les incidents de sécurité à l’aide du Playbook

    Résolvez certains types de menaces à la sécurité étape par étape à l’aide des playbooks d’analyste de sécurité intégrés. Par exemple, un analyste peut utiliser le playbook pour résoudre les attaques de phishing et les menaces causées par des activités de code malveillant. Pour plus d'informations, consultez Résoudre les menaces de sécurité avec le playbook.